Обнаружена связь между вымогателем Jaff и подпольным сайтом PaySell

Обнаружена связь между вымогателем Jaff и подпольным сайтом PaySell

Операторы Jaff и торговая площадка PaySell используют один и тот же сервер с IP-адресом, принадлежащим российскому провайдеру.

В последний месяц эксперты заметили рост активности нового семейства вымогательского ПО Jaff и, как выяснилось, размах вредоносной кампании выходит за рамки простого шифрования файлов. В ходе анализа одного из вариантов Jaff специалисты компании Heimdal Security обнаружили , что операторы вымогательского ПО Jaff и подпольная торговая площадка PaySell используют один и тот же сервер. IP-адрес сервера 5.101.66.85 принадлежит хостинг-повайдеру из Санкт-Петербурга.

Пока у экспертов не так много доказательств, но, по их мнению, организаторы кампаний с использованием Necurs, Dridex, Locky и Jaff взаимосвязаны между собой, или же все эти операции могут быть делом одной кибергруппировки.

Основным доказательством может служить использование крупнейшего на сегодняшний день спам-ботнета Necurs во всех трех операциях. Ранее ботнет применялся для распространения банковского трояна Dridex, предназначенного для хищения банковских учетных данных, и криптовымогателя Locky. В минувшем декабре кампания по рассылке последнего прекратилась, а в мае нынешнего года Necurs начал распространять Jaff.

По данным Heimdal Security, площадка PaySell предлагает платный доступ к взломанным банковским учетным записям, аккаунтам PayPal, eBay и различных интернет-магазинов, а также занимается продажей персональной информации пользователей, такой как номера социального страхования, формы W-2 (документ, в котором содержится полная информация о зарплате и уплаченных налогах) и т.д. Кроме того, в отдельном разделе сайта даже предлагается доступ к взломанным компьютерам (только на базе Windows).

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!