Пока у экспертов не так много доказательств, но, по их мнению, организаторы кампаний с использованием Necurs, Dridex, Locky и Jaff взаимосвязаны между собой, или же все эти операции могут быть делом одной кибергруппировки.
Основным доказательством может служить использование крупнейшего на сегодняшний день спам-ботнета Necurs во всех трех операциях. Ранее ботнет применялся для распространения банковского трояна Dridex, предназначенного для хищения банковских учетных данных, и криптовымогателя Locky. В минувшем декабре кампания по рассылке последнего прекратилась, а в мае нынешнего года Necurs начал распространять Jaff.
По данным Heimdal Security, площадка PaySell предлагает платный доступ к взломанным банковским учетным записям, аккаунтам PayPal, eBay и различных интернет-магазинов, а также занимается продажей персональной информации пользователей, такой как номера социального страхования, формы W-2 (документ, в котором содержится полная информация о зарплате и уплаченных налогах) и т.д. Кроме того, в отдельном разделе сайта даже предлагается доступ к взломанным компьютерам (только на базе Windows).