Популярная киберкриминальная биржа и известный троян-шифровальщик хостятся в Петербурге

Безопасность Стратегия безопасности Интернет Веб-сервисы
мобильная версия
, Текст: Роман Георгиев
Эксперты по кибербезопасности обнаружили связь между шифровальщиком Jaff и подпольной киберпреступной биржей PaySell: их операторы используют одну и ту же инфраструктуру и, вполне вероятно, речь идет об одной и той же киберпреступной группировке.

Питерские следы трояна Jaff и биржи PaySell

Эксперты компании Heimdal Security выявили связь между шифровальщиком-вымогателем Jaff и подпольным «рынком» PaySell, на котором продаются взломанные банковские счета, учетные записи PayPal и eBay и другие подобные товары.

Как утверждают эксперты Heimdal, Jaff и PaySell используют одну и ту же инфраструктуру, ключевым элементом которой является сервер с IP-адресом 5.101.66.85. Этот адрес принадлежит хостинг-провайдеру, располагающемуся в Санкт-Петербурге.

Связь трояна Jaff и биржи PaySell очевидна и ресурсу VirusTotal, который подтверждает, что шифровальщик Jaff действительно раздавался с того же сервера, на котором располагается PaySell.

И снова Necurs

Уже неоднократно высказывались предположения, что Jaff - дело рук тех же киберпреступников, которые ранее донимали Сеть банковским троянцем Dridex и шифровальщиком Locky. Их, как и Jaff, распространяет в первую очередь спам-ботнет Necurs, один из крупнейших, если не самый крупный, в мире.

Троянец Dridex специализируется на краже логинов и паролей к банковским счетам и онлайновым сервисам.

Шифровальщик Jaff и подпольная кибер-биржа PaySell
используют одну и ту же инфраструктуру, расположенную в Санкт-Петербурге

Именно эту информацию и продают на PaySell. Помимо кодов доступа к банковским счетам, аккаунтам в PayPal, eBay и большому количеству онлайновых магазинов, на PaySell продается личные сведения о пользователях, включая номера свидетельств социального страхования и налоговая информация. Клиенты PaySell могут даже покупать доступ к конкретным интересующим компьютерам, при условии, что те работают под управлением Windows.

Эксперты полагают, что это действительно могут быть данные, похищенные с помощью Dridex.

«Киберкриминальная биржа, располагающаяся на том же сервере, через который раздается шифровальщик-вымогатель, - это вряд ли совпадение, - полагает Георгий Лагода, генеральный директор компании SEC-Consult Services. - Вероятнее всего, операторы Jaff, Dridex И Paysell - одни и те же люди, или же несколько формально независимых, но тесно связанных группировок».

Jaff - растущая угроза

Компания Heimdal Security наткнулась на сервер с PaySell в ходе изучения новой версии Jaff. Этот шифровальщик является одной из самых новых - и стремительно нарастающих - киберугроз. Его обнаружили в первой половине мая 2017 г. Сам по себе шифровальщик не сильно отличается от всех остальных, разве что его очень активно рассылают.

Неприятной чертой шифровальщика является очень высокий размер требуемого выкупа: $3700. Страница с требованием выкупа Jaff полностью копирует HTML-файл, распространявшийся с Locky.

Jaff распространяется в виде PDF-файлов, которые, в зависимости от средства просмотра, либо автоматически запускают дополнительный DOCM-файл или просят пользователя его скачать.

При открытии этого файла пользователей также просят активировать макросы (которые уже много лет отключены в пакетах Microsoft Office по умолчанию). За активацией макросов следует фоновое скачивание и запуск вредоносных файлов в системе. Jaff затем начинает шифровать файлы с расширениями из списка, насчитывающего более 400 наименований. Фактически зашифрованными оказываются все файлы, представляющие какую-либо значимость для пользователей.

За расшифровку злоумышленники потребуют два биткоина, то есть примерно $3700.

PaySell - от доллара до нескольких биткоинов

Как выяснили эксперты Heimdal Security, на рынке PaySell продаются десятки тысяч взломаных аккаунтов в самых разных ресурсах. В частности, продается доступ к счетам в банках в США, Германии, Франции, Испании, Италии, Канады, Австралии и Новой Зеландии - с подробностями вроде содержимого счета и контактной информацией жертв; многочисленные украденные номера кредитных карт, аккаунты в электронных торговых площадках и персональные данные.

«Все эти данные могут быть так или иначе использованы для обогащения, - отметил Георгий Лагода. - Вариантов тут много: от совершения покупок за чужой счет до использования чьих-то личных данных для проведения целевых атак, в том числе, с использованием шифровальщиков. Подобные атаки с большей вероятностью приносят злоумышленникам прибыль».