TommyLeaks y SchoolBoys: dos caras de la misma banda de ransomware

Iniciado por Dragora, Octubre 22, 2022, 07:28:32 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Dos nuevas bandas de extorsión llamadas 'TommyLeaks' y 'SchoolBoys' están apuntando a empresas de todo el mundo. Sin embargo, hay una trampa: ambos son la misma banda de ransomware.

El mes pasado, el investigador de seguridad MalwareHunterTeam  tuiteó  sobre una nueva banda de extorsión conocida como 'TommyLeaks'.

Este grupo de piratas afirma violar las redes corporativas, robar datos y exigir un rescate para no filtrar datos. Las demandas de rescate vistas por BleepingComputer oscilan entre $ 400,000 y $ 700,000.

Nota de rescate de TommyLeaks
Fuente: BleepingComputer

En octubre, MalwareHunterTeam  descubrió  otra nueva banda de extorsión llamada 'SchoolBoys Ransomware Gang' que afirma robar datos y cifrar los dispositivos de las víctimas como parte de sus ataques.

Nota de rescate de SchoolBoys Ransomware Gang
Fuente: BleepingComputer

BleepingComputer luego encontró una muestra del encriptador de ransomware SchoolBoys [ VirusTotal ] y confirmó que fue creado usando el constructor filtrado LockBit 3.0 .


El ransomware SchoolBoys usando el encriptador de LockBit
Fuente: BleepingComputer

Los actores de amenazas roban datos durante sus ataques, pero no tienen un sitio de fuga de datos público conocido en este momento.

Si bien no había nada que vinculara a los grupos en ese momento, ambos usaban el mismo sistema de chat Tor para sus sitios de negociación.


Sitio de negociación de SchoolBoy's Ransomware Gang
Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


Sitio de negociación de TommyLeaks
Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Aún más curioso, este mismo sistema de chat solo ha sido utilizado antes por el grupo de extorsión de Karakurt.

Dos lados de la misma moneda

Esta semana, BleepingComputer ha confirmado que tanto TommyLeaks como SchoolBoys Ransomware Gang son, de hecho, el mismo grupo de extorsión.

En un chat de negociación de SchoolBoys compartido con BleepingComputer, los actores de amenazas saludan a su víctima como "TommyLeaks" en sus intentos de coaccionar el pago de un rescate.

Si bien no está claro por qué están utilizando dos nombres diferentes como parte de su operación, es posible que estén intentando un  enfoque similar al adoptado por Conti y Karakurt .

A principios de este año, el CEO de AdvIntel, Vitali Kremez, le dijo a BleepingComputer que Karakurt era parte del sindicato de delitos cibernéticos Conti.

Cuando el cifrador de ransomware de Conti fue bloqueado en los ataques, los piratas informáticos extorsionaron a la víctima utilizando los datos ya robados con el nombre de Karakurt en lugar de la marca Conti.

Para ir un paso más allá, ya que el grupo TommyLeaks/SchoolBoys usa el sistema de chat como Karakurt, es posible que veamos un cambio de marca de la rama de Conti en estas marcas más nuevas.

Si bien es demasiado pronto para saber si esto es lo que está ocurriendo, el grupo de extorsión es uno de los que las empresas deben vigilar, ya que se dirigen a entidades de todos los tamaños.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta