peterzayda - stock.adobe.com
Ransomware : NoEscape part avec la caisse
Durant le week-end, les opérateurs de la franchise de rançongiciel NoEscape ont repris leur caution et désactivé tant leur site vitrine que l’interface utilisée par les affidés.
Partis avec la caisse. Durant le week-end, les plaintes ont commencé à apparaître, contre les opérateurs de la franchise de ransomware NoEscape, sur les forums fréquentés, notamment, par les cybercriminels.
La raison ? Ce que l’on appelle un exit scam. Autrement dit, les opérateurs sont partis avec la caisse. Ils ont désactivé la vitrine de la franchise, où étaient épinglées les victimes récalcitrantes, ainsi que le panel, à savoir : l’interface mise à disposition des affidés. C’est elle qui permet de gérer la production des outils de chiffrement et de déchiffrement, les négociations, et le suivi des paiements.
NoEscape a commencé à revendiquer ses premières victimes au mois de juin 2023. En France, il a notamment revendiqué la cyberattaque contre la ville de Chevilly-Larue, survenue au mois de juillet dernier, ainsi que celles contre Acomen, Garac, la Scara, Effigest, le club LDLC Asvel, et Vinovalie.
La franchise était fortement soupçonnée d’être un rhabillage d’Avaddon, observée pour la première fois en février 2020. En juin 2021, cette franchise a brutalement disparu en fournissant plusieurs milliers de clés de déchiffrement.
Au mois de mai précédent, selon nos observations, la petite entreprise Avaddon avait réussi à faire céder au moins 25 victimes, mais avec 4 paiements à moins de 5 000 $, 9 au-delà, mais en deçà de 10 000 $, 5 de plus à moins de 20 000 $, quatre autres à moins de 50 000 $, un autour de 100 000 $, et deux autour de 380 000 $.
Parallèlement, la rumeur d’une opération de forces de l’ordre contre la franchise Alphv/BlackCat a circulé durant le week-end, alimentée par l’inaccessibilité de son site vitrine et l’absence de son opérateur sur sa messagerie chiffrée habituelle. Il semble toutefois désormais revenu et avoir commencé à remonter sa vitrine.