News,サイバー攻撃 |
2017年6月6日

JaffとPaySellはロシアのプロバイダに属するIPアドレスを持った同じサーバーを使用しています。

先月、専門家は、新たな違法なソフトウェアJaffの活動の増加に気づきました。悪質な活動の範囲は、単純なファイルの暗号化だけでないことが判明しました。Jaffの分析において、Heimdal Security社の専門家は違法なソフトウェアJaffとPaySellが同じサーバーを使用していることが判明しました。サーバのIPアドレス、5.101.66.85はサンクトペテルブルクのプロバイダーが所有しています。

専門家は多くの証拠を得ていませんが、彼らの意見として、Necurs、Dridex、LockyとJaffを使用したキャンペーンの主催者は、相互接続されているか、これらの操作の全ては、単独のサイバーグループによるものであるかもしれません。

主な証拠として、すべての3回の操作で本日の最大のスパムボットネットNecursの使用になります。以前、ボットネットは、銀行の資格情報を盗むために設計されたトロイの木馬Dridex、および暗号ランサムウェアLockyを広めるために使用されました。12月末、キャンペーンは停止され、今年の5月に、Necursは、Jaffを拡散し始めました。

PaySellは、ハッキングされた銀行口座、ペイパル、イーベイや様々なオンラインストアのアカウントへの有料のアクセスを提供しています。また、社会保障番号、給与や支払った税金のような個人情報も販売しています。それ以外にも、サイトの別のセクションで、ハッキングされたコンピュータ(Windowsベースのみ)へのアクセスを提供しています。

記事提供元: http://www.securitylab.ru

翻訳: Kazunori Yoshida 

Related posts

コメントを残すにはログインしてください。