Exit-scam Alphv : un affidé parti chez LockBit 3.0 ?
À L’occasion de la fin de la franchise Alphv, un affidé est parti chez RansomHub pour tenter à nouveau d’escroquer des victimes passées. Un autre semble suivre la même voie, mais chez LockBit 3.0.
Le 16 mars 2024, cinq victimes, avec un point commun, ont fait leur apparition sur le site vitrine de la franchise mafieuse LockBit 3.0 : elles avaient été précédemment revendiquées chez Alphv. Cela ne s’arrête pas là : pour quatre d’entre elles, les données volées à l’occasion de la cyberattaque ont été divulguées ; les dates de création des dossiers suggèrent qu’elles sont arrivées sur l’infrastructure de LockBit 3.0, dans chacun des 4 cas, le 6 mars 2024.
Dans l’ordre chronologique, R. Robertson Insurance Brokers avait été épinglé chez Alphv le 11 janvier 2024, comme Auto-Motion Shade et l’ESN Triella. Dutton Brock avait suivi le 29 janvier, et Rush Energy Services, le 12 février.
Pour mémoire, c’est le 5 mars que l’opérateur de la franchise Alphv/BlackCat a fermé boutique, partant avec la caisse.
Des cas de collaboration probable d’affidés Alphv avec LockBit 3.0 avaient déjà été observés. Mais ils étaient rares : Hampton Newport News CSB, épinglé le 20 novembre dernier chez Alphv pour apparaître chez LockBit le 1er décembre, et la Deutsche Energie-Agentur, vue chez Alphv le 6 décembre, puis chez LockBit 3.0 le 12 décembre. Et l’on peut ajouter deux autres victimes revendiquées en 2023 d’abord chez LockBit puis chez Alphv.
Mais les 5 revendications du 16 mars sont plus marquantes, en cela qu’elles apparaissent toutes 11 jours après l’exit-scam de Alphv et les données divulguées correspondantes semblent toutes avoir été obtenues au lendemain de celui-ci.
Dans la foulée de la fermeture d’Alphv, un affidé floué est apparu partir chez RansomHub : celui qui a semé une pagaille considérable dans le système de santé américain en début d’année en s’attaquant à Change Healthcare.