Две стороны одной медали: TommyLeaks и SchoolBoys – одна и та же банда кибервымогателей

На киберпреступной арене появились дерзкие новички – группировки TommyLeaks и SchoolBoys, атакующие компании по всему миру. Но есть одна загвоздка – они являются одной и той же бандой кибервымогателей.

О TommyLeaks стало известно от ИБ-специалистов MalwareHunterTeam. Эта группировка занимается взломом корпоративных сетей, похищает данные и требует за них выкуп. Сумма выкупа варьируется от 400 000 до 700 000 долларов.

Записка о выкупе от TommyLeaks.

SchoolBoys также была обнаружена специалистами из MalwareHunterTeam, которая занимается кражей данных и шифровкой данных жертв.

Записка о выкупе от SchoolBoys.

Позже исследователи нашли образец шифровальщика SchoolBoys [VirusTotal] и выяснили, что он был создан с использованием слитого в сеть билдера LockBit 3.0.

Шифровальщик от SchoolBoys, собранный с помощью софта от LockBit.

Интересно, что на момент начала расследования связи между SchoolBoys и TommyLeaks, хакеры из обеих группировок использовали одну и ту же чат-систему Tor для создания своих переговорных сайтов.

Эту же систему использовала печально известная группировка Karakurt.

Попались злоумышленники во время переговоров с жертвами – члены группировки SchoolBoys просто представились как TommyLeaks.

И хотя неясно, почему злоумышленники два разных названия группировок в рамках своих операций, эксперты предполагают, что они пытаются применить подход, который ранее был на вооружении у Conti и Karakurt. Напоминаем – в апреле этого года выяснилось , что Karakurt оказалась частью банды кибервымогателей Conti.