對新型勒索軟件Jaff的調查發現惡意軟件和黑市市場之間存在共享的后端基礎架構。這些黑市市場，銷售被盜銀行卡和信用卡帳戶信息。

Heimdal Security的研究人員表示，他們發現的網絡犯罪市場似乎已經成熟——可以訪問“成千上萬的受到破壞的銀行帳戶，包括有關他們的收支，地址和附加電子郵件地址的詳細信息”。并懷疑Jaff惡意軟件和市場有關聯。

“如我們所知，只有加密數據時，勒索軟件攻擊才會停止。它會盡可能多的獲取關于受害者的信息”。安全宣傳者安德拉?扎哈里亞（Andra Zaharia）寫道：利用這些信息資產，網絡犯罪分子正在從事販賣信用卡數據長期的游戲，，并通過像針對性的勒索軟件攻擊來快速獲勝。勒索軟件攻擊其簡單的商業模式產生了快速的投資回報。

幾星期以來Jaff一直在研究人員的雷達屏幕上，并且已經在一些大型的電子郵件活動中落下帷幕，每個郵件都使用PDF作為附件，其嵌入的Microsoft Word文檔被作為勒索軟件的初始下載器。

盡管研究人員還在了解Jaff，但思科的Talos表示，Jaff惡意軟件與Dridex和Locky存在一些相同的分布特征和C2通信模式。

“我們仍在收集數據來證實假設這批被盜數據與Dridex之間可能存在聯系。 Dridex、Locky和Jaff使用相同的僵尸網絡進行擴散（Necurs），這提示我們一些受到損害的記錄可能來自哪里。”CSIS安全組織的創始人彼得·克魯斯說。

這些受損記錄包含銀行帳戶的用戶帳戶信息，主要位于美國，德國，法國和西班牙。

Zaharia寫道：“此外，商店充當著過濾器的角色，買方在這里可以找到最有利可圖的目標。” “信用卡數據仍然是惡意軟件經濟中最熱門的商品之一，因其便于獲取現金，網絡犯罪分子可以把它們變成不可追溯的比特幣。”

視情況而定，市場上列出的泄露帳戶的價格從低于1美元到幾個比特幣不等。

網絡犯罪市場和Jaff基礎架構有相同的域名，如http：// paysell [.]info，http：// paysell [.]net和http：// paysell [.]me。根據Heimdal Security的統計，托管Jaff和黑市市場后端的服務器都位于俄羅斯圣彼得堡。

Zaharia說：“事實上，這兩個模式相結合，數據泄露伴隨著隨后的惡意軟件攻擊，這將是公司的噩夢。”