安全研究人员发现勒索软件Jaff的发布者们与名为PaySell的网络犯罪市场共享同一服务器空间。

此次涉事的服务器IP地址为5.101[.]66.85，而根据Heimdal Security公司的发现，该IP被分配给了位于俄罗斯圣彼得堡的一家托管服务供应商。这一关联在VirusTotal网站上也得到明确体现。

CSIS安全集团创始人兼前Heimdal Security公司专家彼得·克鲁斯在推特上写道，这种关联绝非单纯只是共享服务器这么简单，但其并未提供更多细节信息。

安全各方早对这种关联有所猜测

尽管目前的实证尚显薄弱，但大多数安全研究人员对上述发现并不感到惊讶。事实上，相关一部分从业者认为Necurs、Dridex、Locky与Jaff背后的操纵者确有相互联系——甚至很有可能源自同一个团体。

后三项黑客行动的主要联系点为Necurs——当前全球规模最大的垃圾邮件僵尸网络。此前，该僵尸网络曾被用于传播Dridex银行木马以及Locky勒索软件。

Locky勒索软件的传播于去年12月份宣告停止，而自今年5月初开始，Necurs又开始传播新的勒索软件——Jaff。

Necurs亦曾是Dridex银行木马的主要垃圾邮件来源——这是一支专门用于窃取银行登录与在线凭证的恶意软件家族。

安全专家们同时发现，PaySell网络犯罪市场目前正在出售来自各类在线商店系统的银行帐户、PayPal个人资料、eBay帐户以及相关信息(如下图所示)。PaySell商店甚至还会对用户的私人信息进行销售，包括其社保号码以及W-2税务信息。

另外，该商店当中还拥有专门的版块，用户们可以在其中购买可进行黑客入侵的目标计算机信息——目前此版块只包含Windows系统。

站点上公布的信息为Dridex可从受害者处收集到的各种信息类型

银行木马业务通常由不同组织共同构成，且各组织专门从事不同领域并处理相关事务。一部分组织负责垃圾邮件发送、恶意软件编写以及通过漏洞进行恶意套件发布、实地钱骡操作、黑客入侵数据销毁等等。以往，我们曾经发现过Gozi以及Lurk等众多此类非法网络团体。

很明显，在用于Jaff勒索软件发布的同一台服务器上发现销售黑客入侵数据的地下市场绝不是种偶然。随着调查的进行，研究人员们可能会发现更多实质性的证据，且足以证明PaySell实际上正是Dridex组织成员用于将窃取信息转化为经济收益的网上商店之一。