網路黑市PaySell與Jaff勒索軟體共享同一台伺服器

E安全6月5日訊 安全研究人員發現勒索軟體Jaff的發布者們與名為PaySell的網路犯罪市場共享同一伺服器空間。

本文系E安全綜合編譯報道

此次涉事的伺服器IP地址為5.101[.]66.85，而根據Heimdal Security公司的發現，該IP被分配給了位於俄羅斯聖彼得堡的一家託管服務供應商。這一關聯在VirusTotal網站上也得到明確體現。

CSIS安全集團創始人兼前Heimdal Security公司專家彼得·克魯斯在推特上寫道，這種關聯絕非單純只是共享伺服器這麼簡單，但其並未提供更多細節信息。

安全各方早對這種關聯有所猜測

儘管目前的實證尚顯薄弱，但大多數安全研究人員對上述發現並不感到驚訝。事實上，相關一部分從業者認為Necurs、Dridex、Locky與Jaff背後的操縱者確有相互聯繫——甚至很有可能源自同一個團體。

後三項黑客行動的主要聯繫點為Necurs——當前全球規模最大的垃圾郵件殭屍網路。此前，該殭屍網路曾被用於傳播Dridex銀行木馬以及Locky勒索軟體。

Locky勒索軟體的傳播於去年12月份宣告停止，而自今年5月初開始，Necurs又開始傳播新的勒索軟體——Jaff。

Necurs亦曾是Dridex銀行木馬的主要垃圾郵件來源——這是一支專門用於竊取銀行登錄與在線憑證的惡意軟體家族。

安全專家們同時發現，PaySell網路犯罪市場目前正在出售來自各類在線商店系統的銀行帳戶、PayPal個人資料、eBay帳戶以及相關信息（如下圖所示）。PaySell商店甚至還會對用戶的私人信息進行銷售，包括其社保號碼以及W-2稅務信息。

另外，該商店當中還擁有專門的版塊，用戶們可以在其中購買可進行黑客入侵的目標計算機信息——目前此版塊只包含Windows系統。

本文系E安全綜合編譯報道

站點上公布的信息為Dridex可從受害者處收集到的各種信息類型

銀行木馬業務通常由不同組織共同構成，且各組織專門從事不同領域並處理相關事務。一部分組織負責垃圾郵件發送、惡意軟體編寫以及通過漏洞進行惡意套件發布、實地錢騾操作、黑客入侵數據銷毀等等。以往，我們曾經發現過Gozi以及Lurk等眾多此類非法網路團體。

很明顯，在用於Jaff勒索軟體發布的同一台伺服器上發現銷售黑客入侵數據的地下市場絕不是種偶然。隨著調查的進行，研究人員們可能會發現更多實質性的證據，且足以證明PaySell實際上正是Dridex組織成員用於將竊取信息轉化為經濟收益的網上商店之一。

E安全註：本文系E安全綜合編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！