La infame operación de ransomware LockBit ha dado un nuevo giro en su expansión, reclutando afiliados y desarrolladores de BlackCat/ALPHV y NoEscape después de las recientes interrupciones y estafas de salida en estas operaciones. La semana pasada, los sitios web Tor de NoEscape y la operación de ransomware BlackCat/ALPHV repentinamente se volvieron inaccesibles, dejando a la comunidad de seguridad cibernética en alerta.
Afiliados vinculados a NoEscape afirmaron que los operadores de ransomware llevaron a cabo una estafa de salida, apropiándose de millones de dólares en pagos de rescate y cerrando los paneles web de la operación y los sitios de fuga de datos. Se especula que NoEscape podría ser un rebranding de la operación Avaddon, que se cerró en junio de 2021 y liberó sus claves de descifrado.
En paralelo, la operación de ransomware BlackCat/ALPHV experimentó una interrupción de 5 días, con toda su infraestructura fuera de línea, incluidos sus sitios de fuga de datos y de negociación. Aunque el sitio de fuga de datos de ALPHV regresó el lunes, todos los datos fueron eliminados, y algunas URL de negociación aún no funcionan, deteniendo las negociaciones para muchas víctimas. El administrador de ALPHV atribuyó la interrupción a una supuesta falla de hardware, mientras que el FBI se negó a comentar sobre las interrupciones.
En un giro inesperado, LockBit ha aprovechado estas disrupciones para reclutar afiliados de BlackCat y NoEscape. LockBitSupp, el gerente de operaciones de LockBit, ha instado a los afiliados a utilizar su sitio de filtración de datos y panel de negociación para continuar extorsionando a las víctimas, siempre y cuando posean copias de seguridad de los datos robados. Además, LockBitSupp está intentando reclutar al codificador del encriptador ALPHV.
La incertidumbre reina sobre si los afiliados y probadores de penetración han perdido la confianza en BlackCat y NoEscape, y si están migrando hacia otras operaciones. Sin embargo, una víctima de BlackCat ya ha sido identificada en el sitio de fuga de datos de LockBit, indicando posibles movimientos de afiliados entre las operaciones.
Dado que LockBit se posiciona actualmente como la operación de ransomware más grande, LockBitSupp considera las interrupciones en BlackCat como un “Regalo de Navidad”. A medida que la situación evoluciona, se espera una mayor vigilancia sobre posibles cambios de marca y la dinámica en el sombrío mundo del ransomware.
