LockBit、DragonForce和Qilin组成了“卡特尔”联盟来决定勒索软件市场状况

随着执法压力的增加，该联盟旨在协调攻击并共享资源。

三个最臭名昭著的勒索软件即服务行动已经形成了一个犯罪卡特尔，旨在在他们所描述的日益“具有挑战性”的勒索软件商业环境中协调攻击和共享资源。

根据ReliaQuest的一份报告，DragonForce、Qilin和LockBit在9月初宣布了合作，DragonForce在LockBit重新出现LockBit 5.0勒索软件变体后不久就提出了合作建议。

DragonForce在暗网论坛上的一篇文章中写道：“创造平等的竞争条件，没有冲突，也没有公开侮辱。”“这样，我们都可以增加收入并决定市场状况。随便叫它——联盟、卡特尔等。最主要的是保持联系，彼此友好，成为强大的盟友，而不是敌人。”

LockBit回应道：“我完全同意你的观点。我不希望你有任何不好的事情。根据网络安全公司ReliaQuest审查的通信，人们对我一样，我对人们也是如此。”

DragonForce随后宣布了联盟，并邀请其他勒索软件运营商加入。ReliaQuest在一份报告中说：“Qilin、LockBit和DragonForce之间的联盟正在团结我们的努力，因为我们合作发展我们的方向。”他展示了DragonForce帖子的屏幕截图。

执法压力推动了合并

联盟的成立是在勒索软件运营商面临执法中断的日益增加的压力之时。2024年2月，国际当局扣押了LockBit的基础设施，逮捕了成员，并对该组织的所谓领导人发出了逮捕令，严重侵蚀了附属公司对曾经占主导地位的行动的信任。

ReliaQuest威胁研究员Hayden Evans在报告中写道：“在去年拆除后，这种联盟可以帮助恢复LockBit在附属公司中的声誉，有可能引发对关键基础设施的攻击激增，并将威胁扩大到以前被认为是低风险的行业。”

本周早些时候，麒麟声称对入侵日本朝日集团负有责任。

报告称，这种伙伴关系有望促进三个群体之间共享技术、资源和基础设施。报告指出，2020年，LockBit与Maze勒索软件集团合作，引入了双重敲诈策略，将系统加密与数据盗窃相结合。

迄今为止，ReliaQuest表示，它尚未观察到表明三个团体之间积极合作的攻击，也没有建立新的联合泄漏点。这些团体继续声称他们自己的攻击是个人的功劳。

关键基础设施被宣布为公平游戏

作为LockBit回归公告的一部分，该组织透露，以前被视为限制的关键基础设施部门现在将是其附属公司允许的目标。根据该报告，该组织表示：“允许攻击核电站、火电厂、水力发电厂和其他类似组织等关键基础设施。”

该授权包括对执法部门的挑战：“在联邦调查局和LockBit达成协议不攻击某些类别的目标之前，这些授权仍然有效。如果你正在阅读这篇文章，并且这些规则没有改变，那么联邦调查局还没有向我们提出这项协议，他们对攻击上述类别组织的授权相当满意。”

报告称，此举标志着自2021年5月DarkSide集团对殖民地管道的袭击以来管理勒索软件运营的非正式规则的重大背离，这导致了执法部门的严格审查和该组织的最终关闭。

联邦调查局没有立即回应置评请求。

讲英语的罪犯之间的平行联盟

DragonForce-Qilin-LockBit卡特尔在主要讲英语的网络犯罪群体中遵循类似的整合模式。据报道，Scattered Spider、ShinyHunters和Lapsus$开始以Scattered Lapsus$ Hunters的名义合作，于10月推出了一个数据泄露网站，该网站列出了据称Salesforce环境被入侵的39家公司。

报告称，8月下旬，Scattered Spider宣布计划推出自己的勒索软件即服务产品ShinySp1d3r RaaS，声称这将是“有史以来最好的RaaS”。