Операторы Jaff и торговая площадка PaySell используют один и тот же сервер с IP-адресом, принадлежащим российскому провайдеру.
В последний месяц эксперты заметили рост активности нового семейства вымогательского ПО Jaff и, как выяснилось, размах вредоносной кампании выходит за рамки простого шифрования файлов. В ходе анализа одного из вариантов Jaff специалисты компании Heimdal Security обнаружили, что операторы вымогательского ПО Jaff и подпольная торговая площадка PaySell используют один и тот же сервер. IP-адрес сервера 5.101.66.85 принадлежит хостинг-повайдеру из Санкт-Петербурга.
Пока у экспертов не так много доказательств, но, по их мнению, организаторы кампаний с использованием Necurs, Dridex, Locky и Jaff взаимосвязаны между собой, или же все эти операции могут быть делом одной кибергруппировки.
Основным доказательством может служить использование крупнейшего на сегодняшний день спам-ботнета Necurs во всех трех операциях. Ранее ботнет применялся для распространения банковского трояна Dridex, предназначенного для хищения банковских учетных данных, и криптовымогателя Locky. В минувшем декабре кампания по рассылке последнего прекратилась, а в мае нынешнего года Necurs начал распространять Jaff.
По данным Heimdal Security, площадка PaySell предлагает платный доступ к взломанным банковским учетным записям, аккаунтам PayPal, eBay и различных интернет-магазинов, а также занимается продажей персональной информации пользователей, такой как номера социального страхования, формы W-2 (документ, в котором содержится полная информация о зарплате и уплаченных налогах) и т.д. Кроме того, в отдельном разделе сайта даже предлагается доступ к взломанным компьютерам (только на базе Windows).
Источник