LockBit が ALPHV/BlackCat/NoEscape のアフィリエイトたちを勧誘

LockBit ransomware now poaching BlackCat, NoEscape affiliates

2023/12/13 BleepingComputer — LockBit ランサムウェア・オペレーションは、BlackCat/ALPHV と NoEscape における最近の騒動の後に、そのアフィリエイトと開発者を募り始めている。その背景には、NoEscape と BlackCat/ALPHV ランサムウェア・オペレーションの Tor ウェブサイトが、先週に突然アクセス不能になったというインシデントがある。


NoEscape に関連するアフィリエイトたちは、このランサムウェア・オペレーターが数百万ドルの身代金を持ち逃げし、運営者の Web パネルとデータ漏洩サイトをクローズさせたと主張している。

Azal tweet

NoEscape は、2021年6月にシャットダウンし、BleepingComputer に解読キーを公開した、Avaddon ランサムウェア・オペレーションのリブランドであると考えられている。NoEscape が活動を停止したことで、復号化キーが被害者に再び公開されることを期待する。

先週に、BlackCat/ALPHV ランサムウェアの活動も、5日間の混乱に見舞われ、データ・リークや交渉サイトを含む、すべてのインフラがオフラインになった。ALPHV のデータ・リーク・サイトは、月曜日の時点で復旧したが、すべてのデータは削除されていた。いくつかの交渉用 URL は復旧しているが、その多くは機能しておらず、被害者たちとの交渉は事実上停止している状態だ。

Empty BlackCat data leak site
空になった BlackCat データ流出サイト
Source: BleepingComputer

ALPHV の管理者は、シャットダウンの原因はハードウェアの故障だと主張している。しかし我々は、法執行機関の活動が停止に関係しているという、いくつかの情報源からの情報を入手している。ただし、この障害について FBI に問い合わせても、回答は得られていない。

窮地に陥ったギャングたちからアフィリエイトを募る LockBit

LeMagIT が最初に報じたように、LockBit のオペレーション・マネージャーである LockBitSupp は、BlackCat と NoEscape のランサムウェア・オペレーションからアフィリエイトをリクルートし始めている。

LockBitSupp はアフィリエイターたちに対して、盗み出したデータのバックアップを保持しているのであれば、LockBit のデータ流出サイトと交渉パネルを利用して、被害者への恐喝を続行できると、ロシア語圏のハッキング・フォーラムへの投稿で述べている。


さらに LockBitSupp は、ALPHV のアフィリエイトに加えて、開発者たちもリクルートしようとしている。


BlackCat/NoEscape のアフィリエイトたちが、LockBit に移ったかどうかは不明だが、BlackCat の被害者の1社が、すでに LockBit のデータ・リーク・サイトで目撃されている。

FalconFeeds は、「LockBit は、以前は ALPHV の被害者であった、ドイツのエネルギー庁 dena (http://dena.de) を被害者リストに追加した」と X に投稿している。

BlackCat/ALPHV は、DarkSide と BlackMatter ランサムウェア・オペレーションのリブランドである。2021年11月に BlackMatter が閉鎖された後にも、そのアフィリエイトたちは LockBit に移籍していた。

BlackMatter affiliate transferring a victim to LockBit site
BlackMatter のアフィリエイトが被害者を LockBit のサイトに移している
Source: BleepingComputer

現時点において、LockBit が最大のランサムウェア・グループである。LockBitSupp はBleepingComputer に対し、BlackCat の停止を “クリスマス・ギフト” と捉えていると語った。

アフィリエイトやペンテスターが、BlackCat や NoEscape への信頼を放棄して、他のオペレーションへと移行しているかどうかを判断するのは早計だ。しかし、近いうちにまた新たなブランドが誕生しても不思議ではない。

ALPHV/BlackCat のシャットダウンについては、2023/12/11 の「ALPHV/BlackCat のサイトがシャットダウン:法的執行機関による対応か?」が第一報となります。そのときにも、この種の法執行措置が実施されると、アフィリエイトたちとノウハウが移動することで、新たなアフィリエイト・プログラムに広がるという、懸念が示されていました。だからといって、放置できるものではありませんから、仕方ないと思います。悔しいけど、Lockbit は大喜びという感じです。よろしければ、ALPHV + BlackCat で検索も、ご利用ください。