Exit-scam Alphv : un affidé parti chez LockBit 3.0 ?

Le 16 mars 2024, cinq victimes, avec un point commun, ont fait leur apparition sur le site vitrine de la franchise mafieuse LockBit 3.0 : elles avaient été précédemment revendiquées chez Alphv. Cela ne s’arrête pas là : pour quatre d’entre elles, les données volées à l’occasion de la cyberattaque ont été divulguées ; les dates de création des dossiers suggèrent qu’elles sont arrivées sur l’infrastructure de LockBit 3.0, dans chacun des 4 cas, le 6 mars 2024. 

Dans l’ordre chronologique, R. Robertson Insurance Brokers avait été épinglé chez Alphv le 11 janvier 2024, comme Auto-Motion Shade et l’ESN Triella. Dutton Brock avait suivi le 29 janvier, et Rush Energy Services, le 12 février. 

Pour mémoire, c’est le 5 mars que l’opérateur de la franchise Alphv/BlackCat a fermé boutique, partant avec la caisse.

Des cas de collaboration probable d’affidés Alphv avec LockBit 3.0 avaient déjà été observés. Mais ils étaient rares : Hampton Newport News CSB, épinglé le 20 novembre dernier chez Alphv pour apparaître chez LockBit le 1er décembre, et la Deutsche Energie-Agentur, vue chez Alphv le 6 décembre, puis chez LockBit 3.0 le 12 décembre. Et l’on peut ajouter deux autres victimes revendiquées en 2023 d’abord chez LockBit puis chez Alphv.

Mais les 5 revendications du 16 mars sont plus marquantes, en cela qu’elles apparaissent toutes 11 jours après l’exit-scam de Alphv et les données divulguées correspondantes semblent toutes avoir été obtenues au lendemain de celui-ci.

Dans la foulée de la fermeture d’Alphv, un affidé floué est apparu partir chez RansomHub : celui qui a semé une pagaille considérable dans le système de santé américain en début d’année en s’attaquant à Change Healthcare.