Злоумышленники выдали себя при общении с жертвами.
На киберпреступной арене появились дерзкие новички – группировки TommyLeaks и SchoolBoys, атакующие компании по всему миру. Но есть одна загвоздка – они являются одной и той же бандой кибервымогателей.
О TommyLeaks стало известно от ИБ-специалистов MalwareHunterTeam. Эта группировка занимается взломом корпоративных сетей, похищает данные и требует за них выкуп. Сумма выкупа варьируется от 400 000 до 700 000 долларов.
https://lh3.googleusercontent.com/e4...BSOKZKXv1iEPjw
Записка о выкупе от TommyLeaks.
SchoolBoys также была обнаружена специалистами из MalwareHunterTeam, которая занимается кражей данных и шифровкой данных жертв.
https://lh6.googleusercontent.com/xg...i_B5z6F9EqxWGg
Записка о выкупе от SchoolBoys.
Позже исследователи нашли образец шифровальщика SchoolBoys [VirusTotal] и выяснили, что он был создан с использованием слитого в сеть билдера LockBit 3.0.
https://lh5.googleusercontent.com/_w...Jh_T_HXfKlNACw
Шифровальщик от SchoolBoys, собранный с помощью софта от LockBit.
Интересно, что на момент начала расследования связи между SchoolBoys и TommyLeaks, хакеры из обеих группировок использовали одну и ту же чат-систему Tor для создания своих переговорных сайтов.
Эту же систему использовала печально известная группировка Karakurt.
Попались злоумышленники во время переговоров с жертвами – члены группировки SchoolBoys просто представились как TommyLeaks.
И хотя неясно, почему злоумышленники два разных названия группировок в рамках своих операций, эксперты предполагают, что они пытаются применить подход, который ранее был на вооружении у Conti и Karakurt. Напоминаем – в апреле этого года выяснилось , что Karakurt оказалась частью банды кибервымогателей Conti.