对新型勒索软件Jaff的调查发现恶意软件和黑市市场之间存在共享的后端基础架构。这些黑市市场，销售被盗银行卡和信用卡帐户信息。

Heimdal Security的研究人员表示，他们发现的网络犯罪市场似乎已经成熟——可以访问“成千上万的受到破坏的银行帐户，包括有关他们的收支，地址和附加电子邮件地址的详细信息”。并怀疑Jaff恶意软件和市场有关联。

“如我们所知，只有加密数据时，勒索软件攻击才会停止。它会尽可能多的获取关于受害者的信息”。安全宣传者安德拉?扎哈里亚（Andra Zaharia）写道：利用这些信息资产，网络犯罪分子正在从事贩卖信用卡数据长期的游戏，，并通过像针对性的勒索软件攻击来快速获胜。勒索软件攻击其简单的商业模式产生了快速的投资回报。

几星期以来Jaff一直在研究人员的雷达屏幕上，并且已经在一些大型的电子邮件活动中落下帷幕，每个邮件都使用PDF作为附件，其嵌入的Microsoft Word文档被作为勒索软件的初始下载器。

尽管研究人员还在了解Jaff，但思科的Talos表示，Jaff恶意软件与Dridex和Locky存在一些相同的分布特征和C2通信模式。

“我们仍在收集数据来证实假设这批被盗数据与Dridex之间可能存在联系。 Dridex、Locky和Jaff使用相同的僵尸网络进行扩散（Necurs），这提示我们一些受到损害的记录可能来自哪里。”CSIS安全组织的创始人彼得·克鲁斯说。

这些受损记录包含银行帐户的用户帐户信息，主要位于美国，德国，法国和西班牙。

Zaharia写道：“此外，商店充当着过滤器的角色，买方在这里可以找到最有利可图的目标。” “信用卡数据仍然是恶意软件经济中最热门的商品之一，因其便于获取现金，网络犯罪分子可以把它们变成不可追溯的比特币。”

视情况而定，市场上列出的泄露帐户的价格从低于1美元到几个比特币不等。

网络犯罪市场和Jaff基础架构有相同的域名，如http：// paysell [.]info，http：// paysell [.]net和http：// paysell [.]me。根据Heimdal Security的统计，托管Jaff和黑市市场后端的服务器都位于俄罗斯圣彼得堡。

Zaharia说：“事实上，这两个模式相结合，数据泄露伴随着随后的恶意软件攻击，这将是公司的噩梦。”