Популярная киберкриминальная биржа и известный троян-шифровальщик хостятся в Петербурге

Питерские следы трояна Jaff и биржи PaySell Эксперты компании Heimdal Security выявили связь между шифровальщиком-вымогателем Jaff и подпольным «рынком» PaySell, на котором продаются взломанные банковские счета, учетные записи PayPal и eBay и другие подобные товары. Как утверждают эксперты Heimdal, Jaff и PaySell используют одну и ту же инфраструктуру, ключевым элементом которой является сервер с IP-адресом 5.101.66.85. Этот адрес принадлежит хостинг-провайдеру, располагающемуся в Санкт-Петербурге. Связь трояна Jaff и биржи PaySell очевидна и ресурсу VirusTotal, который подтверждает, что шифровальщик Jaff действительно раздавался с того же сервера, на котором располагается PaySell. И снова Necurs Уже неоднократно высказывались предположения, что Jaff - дело рук тех же киберпреступников, которые ранее донимали Сеть банковским троянцем Dridex и шифровальщиком Locky. Их, как и Jaff, распространяет в первую очередь спам-ботнет Necurs, один из крупнейших, если не самый крупный, в мире. Троянец Dridex специализируется на краже логинов и паролей к банковским счетам и онлайновым сервисам. http://filearchive.cnews.ru/img/news/2017/06/07/peter600.jpg"> Шифровальщик Jaff и подпольная кибер-биржа PaySell используют одну и ту же инфраструктуру, расположенную в Санкт-Петербурге Именно эту информацию и продают на PaySell. Помимо кодов доступа к банковским счетам, аккаунтам в PayPal, eBay и большому количеству онлайновых магазинов, на PaySell продается личные сведения о пользователях, включая номера свидетельств социального страхования и налоговая информация. Клиенты PaySell могут даже покупать доступ к конкретным интересующим компьютерам, при условии, что те работают под управлением Windows. Эксперты полагают, что это действительно могут быть данные, похищенные с помощью Dridex. «Киберкриминальная биржа, располагающаяся на том же сервере, через который раздается шифровальщик-вымогатель, - это вряд ли совпадение, - полагает [b]Георгий Лагода[/b], генеральный директор компании SEC-Consult Services. - Вероятнее всего, операторы Jaff, Dridex И Paysell - одни и те же люди, или же несколько формально независимых, но тесно связанных группировок». Jaff - растущая угроза Компания Heimdal Security наткнулась на сервер с PaySell в ходе изучения новой версии Jaff. Этот шифровальщик является одной из самых новых - и стремительно нарастающих - киберугроз. Его обнаружили в первой половине мая 2017 г. Сам по себе шифровальщик не сильно отличается от всех остальных, разве что его очень активно рассылают. Неприятной чертой шифровальщика является очень высокий размер требуемого выкупа: $3700. Страница с требованием выкупа Jaff полностью копирует HTML-файл, распространявшийся с Locky. Jaff распространяется в виде PDF-файлов, которые, в зависимости от средства просмотра, либо автоматически запускают дополнительный DOCM-файл или просят пользователя его скачать. При открытии этого файла пользователей также просят активировать макросы (которые уже много лет отключены в пакетах Microsoft Office по умолчанию). За активацией макросов следует фоновое скачивание и запуск вредоносных файлов в системе. Jaff затем начинает шифровать файлы с расширениями из списка, насчитывающего более 400 наименований. Фактически зашифрованными оказываются все файлы, представляющие какую-либо значимость для пользователей. За расшифровку злоумышленники потребуют два биткоина, то есть примерно $3700. PaySell - от доллара до нескольких биткоинов Как выяснили эксперты Heimdal Security, на рынке PaySell продаются десятки тысяч взломаных аккаунтов в самых разных ресурсах. В частности, продается доступ к счетам в банках в США, Германии, Франции, Испании, Италии, Канады, Австралии и Новой Зеландии - с подробностями вроде содержимого счета и контактной информацией жертв; многочисленные украденные номера кредитных карт, аккаунты в электронных торговых площадках и персональные данные. «Все эти данные могут быть так или иначе использованы для обогащения, - отметил Георгий Лагода. - Вариантов тут много: от совершения покупок за чужой счет до использования чьих-то личных данных для проведения целевых атак, в том числе, с использованием шифровальщиков. Подобные атаки с большей вероятностью приносят злоумышленникам прибыль».[img]http://filearchive.cnews.ru/img/news/2017/06/07/peter600.jpg"> Шифровальщик Jaff и подпольная кибер-биржа PaySell
используют одну и ту же инфраструктуру, расположенную в Санкт-Петербурге Именно эту информацию и продают на PaySell. Помимо кодов доступа к банковским счетам, аккаунтам в PayPal, eBay и большому количеству онлайновых магазинов, на PaySell продается личные сведения о пользователях, включая номера свидетельств социального страхования и налоговая информация. Клиенты PaySell могут даже покупать доступ к конкретным интересующим компьютерам, при условии, что те работают под управлением Windows. Эксперты полагают, что это действительно могут быть данные, похищенные с помощью Dridex. «Киберкриминальная биржа, располагающаяся на том же сервере, через который раздается шифровальщик-вымогатель, - это вряд ли совпадение, - полагает Георгий Лагода, генеральный директор компании SEC-Consult Services. - Вероятнее всего, операторы Jaff, Dridex И Paysell - одни и те же люди, или же несколько формально независимых, но тесно связанных группировок». Jaff - растущая угроза Компания Heimdal Security наткнулась на сервер с PaySell в ходе изучения новой версии Jaff. Этот шифровальщик является одной из самых новых - и стремительно нарастающих - киберугроз. Его обнаружили в первой половине мая 2017 г. Сам по себе шифровальщик не сильно отличается от всех остальных, разве что его очень активно рассылают. Неприятной чертой шифровальщика является очень высокий размер требуемого выкупа: $3700. Страница с требованием выкупа Jaff полностью копирует HTML-файл, распространявшийся с Locky. Jaff распространяется в виде PDF-файлов, которые, в зависимости от средства просмотра, либо автоматически запускают дополнительный DOCM-файл или просят пользователя его скачать. При открытии этого файла пользователей также просят активировать макросы (которые уже много лет отключены в пакетах Microsoft Office по умолчанию). За активацией макросов следует фоновое скачивание и запуск вредоносных файлов в системе. Jaff затем начинает шифровать файлы с расширениями из списка, насчитывающего более 400 наименований. Фактически зашифрованными оказываются все файлы, представляющие какую-либо значимость для пользователей. За расшифровку злоумышленники потребуют два биткоина, то есть примерно $3700. PaySell - от доллара до нескольких биткоинов Как выяснили эксперты Heimdal Security, на рынке PaySell продаются десятки тысяч взломаных аккаунтов в самых разных ресурсах. В частности, продается доступ к счетам в банках в США, Германии, Франции, Испании, Италии, Канады, Австралии и Новой Зеландии - с подробностями вроде содержимого счета и контактной информацией жертв; многочисленные украденные номера кредитных карт, аккаунты в электронных торговых площадках и персональные данные. «Все эти данные могут быть так или иначе использованы для обогащения, - отметил Георгий Лагода. - Вариантов тут много: от совершения покупок за чужой счет до использования чьих-то личных данных для проведения целевых атак, в том числе, с использованием шифровальщиков. Подобные атаки с большей вероятностью приносят злоумышленникам прибыль».