Шифровальщик Jaff впервой попал в поле зрения профессионалов посреди мая 2017 года, однако остался почти незамеченным, ведь всеобщее внимание существовало приковано к массовым атакам WannaCry.

Тогда-то исследователи Malwarebytes докладывали, чего Jaff напечатан на языке C и почти во всем похож на выдающегося вымогателя Locky. Опасньсть настолько же задействует PDF-файлы, кои запускают Word с вредоносными макросами снутри, и даже вебстраница платежей смотрится схожим образом.

На распространении Jaff «изловили» один из больших ботнетов в мире, Necurs, который в силах в одиночку изрядно влиять на уровень мусора в мировом трафике. Напомню, чего до этого Necurs распространял банкера Dridex, шифровальщиков Locky и Bart. Почти все исследователи издавна подразумевают, чего за операциями ботнета и изготовлением перечисленной малвари стоит ли одна и та самая же группа взломщиков.

Сейчас спецы Heimdal Security нашли гораздо один увлекательный факт. Исследователи пишут, чего шифровальщик Jaff разделяет один сервер с подпольной торговой площадкой PaySell, на которой идет активная торговля взломанными банковскими аккаунтами и картами, учетными записями PayPal, eBay, Amazon и альтернативных онлайновых сервисов, также субъективными заданными граждан, к примеру, номерами общественного страхования либо налоговыми формами W-2. Можно даже купить доступ к отдельному скомпрометированному компу (сантиметров. снимок экрана ниже).

Исследователи помечают, чего в текущее время атаки вымогателей часто закончить ограничиваются одним исключительно шифрованием файлов, и злоумышленники стараются собрать а как можно все больше заданных об собственной жертве. Однако заданные, которыми ведет торговлю PaySell, а также весьма похожи на информацию, которую мог бы коллекционировать об собственных жертвах Dridex.

По заданным Heimdal Security, сервер злоумышленников, который является частью инфраструктуры Jaff и PayShell, размещен в Санкт-Петербурге и имеет IP-адрес 5.101.66[.]85. Для собственной торговой площадки хакеры задействуют последующие домены: http://paysell[.]info, http://paysell[.]net, http://paysell[.]me, http://paysell[.]bz, http://paysell[.]org, http://paysell[.]ws, также paysellzh4l5lso7[.]onion.