Desde setembro de 2022, após um vazamento de sua ferramenta de criação de ransomware LockBit versão 3.0, conhecida como Black, uma série de ataques atribuídos a imitadores do LockBit surgiu, visando organizações em vários setores e regiões. Este vazamento ocorreu devido a desentendimentos entre um desenvolvedor-chave e o líder do grupo LockBit, especialmente em torno de divisões de lucros durante uma onda de ataques lucrativos.

O vazamento permitiu que atores externos ao programa de afiliados do LockBit, que normalmente exige que os participantes provem sua competência e reputação, usassem a ferramenta para realizar ataques sob a marca LockBit sem enfrentar as rigorosas exigências do grupo.

Conforme documentado por várias fontes de segurança, isso resultou em uma série de campanhas por grupos que usaram a ferramenta vazada para executar seus próprios ataques, muitas vezes visando organizações fora da esfera tradicional de influência do LockBit, incluindo países da Comunidade dos Estados Independentes (CIS), o que é raro para grupos baseados na Rússia.

A atividade do LockBit diminuiu desde a operação Cronos, uma ação de aplicação da lei multinacional que apreendeu servidores do LockBit e prendeu afiliados. No entanto, o grupo tentou demonstrar resiliência, relançando sua presença na dark web e reivindicando responsabilidade por novos ataques.