Le 16 mars 2024, cinq victimes, avec un point commun, ont fait leur apparition sur le site vitrine de la franchise mafieuse LockBit 3.0 : elles avaient été précédemment revendiquées chez Alphv. Cela ne s’arrête pas là : pour quatre d’entre elles, les données volées à l’occasion de la cyberattaque ont été divulguées ; les dates de création des dossiers suggèrent qu’elles sont arrivées sur l’infrastructure de LockBit 3.0, dans chacun des 4 cas, le 6 mars 2024.
Dans l’ordre chronologique, R. Robertson Insurance Brokers avait été épinglé chez Alphv le 11 janvier 2024, comme Auto-Motion Shade et l’ESN Triella. Dutton Brock avait suivi le 29 janvier, et Rush Energy Services, le 12 février.
Pour mémoire, c’est le 5 mars que l’opérateur de la franchise Alphv/BlackCat a fermé boutique, partant avec la caisse.
Des cas de collaboration probable d’affidés Alphv avec LockBit 3.0 avaient déjà été observés. Mais ils étaient rares : Hampton Newport News CSB, épinglé le 20 novembre dernier chez Alphv pour apparaître chez LockBit le 1er décembre, et la Deutsche Energie-Agentur, vue chez Alphv le 6 décembre, puis chez LockBit 3.0 le 12 décembre. Et l’on peut ajouter deux autres victimes revendiquées en 2023 d’abord chez LockBit puis chez Alphv.
Mais les 5 revendications du 16 mars sont plus marquantes en cela qu’elles apparaissent toutes 11 jours après l’exit-scam de Alphv et les données divulguées correspondantes semblent toutes avoir été obtenues au lendemain de celui-ci.
Dans la foulée de la fermeture d’Alphv un affidé floué est apparu partir chez RansomHub : celui qui a semé une pagaille considérable dans le système de santé américain en début d’année en s’attaquant à Change Healthcare.