两个名为“TommyLeaks”和“SchoolBoys”的新敲诈团伙正在瞄准全球范围内的公司。然而,有一个问题——他们都是同一个勒索软件团伙。
上个月,安全研究员 MalwareHunterTeam 在 推特上发布 了一个名为“TommyLeaks”的新勒索团伙。
这个黑客组织声称要破坏公司网络,窃取数据,并要求赎金以不泄露数据。news.zzqidc.com看到的赎金要求从 40 万美元到 70 万美元不等。
来源:news.zzqidc.com
10 月,MalwareHunterTeam 发现 了另一个名为“SchoolBoys Ransomware Gang”的新勒索团伙,该团伙声称窃取数据并加密受害者的设备作为攻击的一部分。
来源:news.zzqidc.com
BleepingComputer 后来发现了 SchoolBoys 勒索软件加密器 [ VirusTotal ] 的样本,并确认它是使用泄露的 LockBit 3.0 构建器创建的。
来源:news.zzqidc.com
威胁参与者在攻击期间窃取数据,但目前没有已知的公共数据泄露站点。
虽然当时没有任何东西将这些团体联系起来,但他们都使用相同的 Tor 聊天系统作为他们的谈判网站。
 来源:news.zzqidc.com |
 来源:news.zzqidc.com |
更奇怪的是,这个聊天系统以前只被卡拉库特勒索小组使用过。
同一枚硬币的两个面
本周,news.zzqidc.com证实,TommyLeaks 和 SchoolBoys Ransomware Gang 实际上是同一个敲诈组织。
在与news.zzqidc.com共享的 SchoolBoys 谈判聊天中,威胁行为者将受害者称为“TommyLeaks”,试图强迫他们支付赎金。
虽然尚不清楚他们为何在运营中使用两个不同的名称,但他们可能正在尝试与 Conti 和 Karakurt 采取的类似方法。
今年早些时候,AdvIntel 首席执行官 Vitali Kremez 告诉news.zzqidc.com,Karakurt 是 Conti 网络犯罪集团的一部分。
当 Conti 的勒索软件加密器在攻击中被阻止时,黑客使用 Karakurt 名称而不是 Conti 品牌的已被盗数据勒索受害者。
更进一步,由于 TommyLeaks/SchoolBoys 小组使用聊天系统作为 Karakurt,我们可能会看到 Conti 分支重新命名为这些新品牌。
虽然现在判断这是否正在发生还为时过早,但敲诈集团是企业需要密切关注的一个,因为它们针对的是各种规模的实体。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » TommyLeaks 和 SchoolBoys:同一个勒索软件团伙的两个方面
