Шифровальщик Jaff впервые попал в поле зрения экспертов в середине мая 2017 года, но остался практически незамеченным, ведь всеобщее внимание было приковано к массовым атакам WannaCry.
Тогда исследователи Malwarebytes сообщали, что Jaff написан на языке C и во многом похож на известного вымогателя Locky. Угроза так же использует PDF-файлы, которые запускают Word с вредоносными макросами внутри, и даже страница платежей выглядит похожим образом.
На распространении Jaff «поймали» один из крупнейших ботнетов в мире, Necurs, который способен в одиночку значительно влиять на уровень спама в мировом трафике. Напомню, что ранее Necurs распространял банкера Dridex, шифровальщиков Locky и Bart. Многие исследователи давно предполагают, что за операциями ботнета и созданием перечисленной малвари стоит одна и та же группа хакеров.
Теперь специалисты Heimdal Security обнаружили еще один интересный факт. Исследователи пишут, что шифровальщик Jaff делит один сервер с подпольной торговой площадкой PaySell, на которой идет активная торговля взломанными банковскими аккаунтами и картами, учетными записями PayPal, eBay, Amazon и других онлайновых сервисов, а также личными данными людей, например, номерами социального страхования или налоговыми формами W-2. Можно даже приобрести доступ к отдельному скомпрометированному компьютеру (см. скриншот ниже).
Исследователи отмечают, что в настоящее время атаки вымогателей зачастую не ограничиваются одним только шифрованием файлов, и злоумышленники стараются собрать как можно больше данных о своей жертве. Но данные, которыми торгует PaySell, также очень похожи на информацию, которую мог бы собирать о своих жертвах Dridex.
По данным Heimdal Security, сервер злоумышленников, который является частью инфраструктуры Jaff и PayShell, расположен в Санкт-Петербурге и имеет IP-адрес 5.101.66[.]85. Для своей торговой площадки хакеры используют следующие домены: http://paysell[.]info, http://paysell[.]net, http://paysell[.]me, http://paysell[.]bz, http://paysell[.]org, http://paysell[.]ws, а также paysellzh4l5lso7[.]onion.
