L’opération de ransomware Lock Bit recrute maintenant des affiliés et des développeurs de BlackCat / ALPHV et NoEscape après de récentes perturbations et escroqueries à la sortie.
La semaine dernière, les sites Web Tor de l’opération NoEscape et du ransomware BlackCat/ALPHV sont soudainement devenus inaccessibles sans avertissement.
Les affiliés associés à NoEscape ont affirmé que les opérateurs de ransomware avaient réussi une arnaque de sortie, volant des millions de dollars en paiements de rançon et fermant les panneaux Web de l’opération et les sites de fuite de données.
Aucune évasion ne serait un changement de nom de l’opération de ransomware Avaddon, qui s’est arrêtée en juin 201 et a publié ses clés de déchiffrement sur Breachtrace . Nous espérons que NoEscape publiera à nouveau les clés de déchiffrement pour leurs victimes maintenant qu’elles ont arrêté leurs opérations.
L’opération de ransomware BlackCat/ALPHV a également subi une interruption de 5 jours la semaine dernière, avec la mise hors ligne de toute leur infrastructure, y compris leurs sites de fuite de données et de négociation.
Lundi, le site de fuite de données ALPHV est revenu, mais toutes les données ont été supprimées. Alors que certaines URL de négociation fonctionnent, beaucoup ne fonctionnent pas, interrompant effectivement les négociations pour ces victimes.
L’administrateur ALPHA a affirmé que leur panne était causée par une défaillance matérielle. Cependant, Breachtrace a entendu de multiples sources qu’une opération d’application de la loi était liée à la panne.
Le FBI a refusé de commenter lorsque nous les avons contactés au sujet des perturbations.
LockBit recrute des affiliés parmi des gangs en détresse
Comme indiqué pour la première fois par LeMagIT, LockBitSupp, le responsable de l’opération LockBit, a commencé à recruter des affiliés parmi les opérations de ransomware BlackCat et NoEscape.
Dans des messages sur un forum de piratage russophone, LockBitSupp a déclaré aux affiliés que s’ils avaient des sauvegardes des données volées, ils pourraient utiliser son site de fuite de données et son panel de négociation pour continuer à extorquer des victimes.
En plus des affiliés, LockBitSupp tente de recruter le codeur pour le cryptographe ALPHA.
Bien qu’il ne soit pas clair si l’un des affiliés de BlackCat/NoEscape est passé à LockBit, une victime de BlackCat a déjà été repérée sur le site de fuite de données de LockBit.
« »Le groupe de ransomware Lock Bit a ajouté l’Agence allemande de l’énergie dena (http://dena.de) à leur liste de victimes, qui était auparavant victime du groupe de ransomwares ALPHV », lit un tweet de FalconFeeds.
BlackCat / ALPHA est une nouvelle image des opérations de ransomware du Côté obscur et de la Matière noire. Après la fermeture de BlackMatter en novembre 2021, ses affiliés sont passés à LockBit.
Lock Bit étant la plus grande opération de ransomware à l’heure actuelle, LockBitSupp a déclaré à Breachtrace qu’il considérait les pannes de BlackCat comme un « cadeau de Noël. »
Il est trop tôt pour dire si les affiliés et les testeurs d’intrusion ont perdu confiance en BlackCat ou NoEscape et passent à d’autres opérations. Cependant, il ne serait pas surprenant que nous voyions bientôt une autre image de marque.