安全研究人員發現勒索軟件Jaff的發布者們與名為PaySell的網絡犯罪市場共享同一服務器空間。
此次涉事的服務器IP地址為5.101[.]66.85,而根據Heimdal Security公司的發現,該IP被分配給了位于俄羅斯圣彼得堡的一家托管服務供應商。這一關聯在VirusTotal網站上也得到明確體現。
CSIS安全集團創始人兼前Heimdal Security公司專家彼得·克魯斯在推特上寫道,這種關聯絕非單純只是共享服務器這么簡單,但其并未提供更多細節信息。
安全各方早對這種關聯有所猜測
盡管目前的實證尚顯薄弱,但大多數安全研究人員對上述發現并不感到驚訝。事實上,相關一部分從業者認為Necurs、Dridex、Locky與Jaff背后的操縱者確有相互聯系——甚至很有可能源自同一個團體。
后三項黑客行動的主要聯系點為Necurs——當前全球規模最大的垃圾郵件僵尸網絡。此前,該僵尸網絡曾被用于傳播Dridex銀行木馬以及Locky勒索軟件。
Locky勒索軟件的傳播于去年12月份宣告停止,而自今年5月初開始,Necurs又開始傳播新的勒索軟件——Jaff。
Necurs亦曾是Dridex銀行木馬的主要垃圾郵件來源——這是一支專門用于竊取銀行登錄與在線憑證的惡意軟件家族。
安全專家們同時發現,PaySell網絡犯罪市場目前正在出售來自各類在線商店系統的銀行帳戶、PayPal個人資料、eBay帳戶以及相關信息(如下圖所示)。PaySell商店甚至還會對用戶的私人信息進行銷售,包括其社保號碼以及W-2稅務信息。
另外,該商店當中還擁有專門的版塊,用戶們可以在其中購買可進行黑客入侵的目標計算機信息——目前此版塊只包含Windows系統。
站點上公布的信息為Dridex可從受害者處收集到的各種信息類型
銀行木馬業務通常由不同組織共同構成,且各組織專門從事不同領域并處理相關事務。一部分組織負責垃圾郵件發送、惡意軟件編寫以及通過漏洞進行惡意套件發布、實地錢騾操作、黑客入侵數據銷毀等等。以往,我們曾經發現過Gozi以及Lurk等眾多此類非法網絡團體。
很明顯,在用于Jaff勒索軟件發布的同一臺服務器上發現銷售黑客入侵數據的地下市場絕不是種偶然。隨著調查的進行,研究人員們可能會發現更多實質性的證據,且足以證明PaySell實際上正是Dridex組織成員用于將竊取信息轉化為經濟收益的網上商店之一。
京公網安備 11010502049343號