Den Ausgangspunkt der Angriffe bildet laut Acronis eine Schadsoftware namens Adwind, die mehrere Funktionen zur Erschwerung von Erkennung und Analyse mitbringt, darunter eine starke Verschleierung des Codes. Die untersuchten Vorfälle begannen typischerweise mit einer in Microsoft Outlook geöffneten E-Mail. Ein darin enthaltener Google-Drive-Link löste einen Prozess aus, der schließlich zum Download einer schädlichen Datei führte. Acronis verweist auf einen in einem bekannten öffentlichen Forum gefundenen Opferbericht, in dem ein Betroffener bestätigt, dass seine Gerätedateien nach dem Öffnen einer Outlook-Mail von JanaWare verschlüsselt wurden.
Vor der Ausführung prüft die Schadsoftware Standort-, Sprach- und Ländereinstellungen des Systems und setzt voraus, dass diese mit türkischer Sprache und türkischem Standort übereinstimmen. Nur dann wird sie aktiv. Die Lösegeldforderung ist auf Türkisch verfasst und direkt in die Schadsoftware eingebettet – für Acronis ein weiterer Beleg dafür, dass die Kampagne gezielt auf Bewohner der Türkei ausgerichtet ist. Die Opfer werden aufgefordert, die Angreifer über qTox zu kontaktieren, eine kostenlose, dezentrale Chat-Plattform, die über das Peer-to-Peer-Netzwerk Tox läuft.
Nach Einschätzung von Acronis schränkt die Fokussierung auf die Türkei zugleich die Möglichkeiten internationaler Sicherheitsforscher ein, die Schadsoftware zu untersuchen. Die gezielte Ausrichtung deute darauf hin, dass die Malware nicht opportunistisch agiere, sondern Teil einer Kampagne mit klar definiertem geografischen Rahmen sei; die Standortprüfungen dienten sowohl der Tarnung als auch der Sicherstellung, dass die Software nur in den vorgesehenen Umgebungen läuft.
Der Bericht fügt sich in Warnungen von Sicherheitsforschern und Strafverfolgungsbehörden ein, wonach das Ransomware-Ökosystem nach mehreren spektakulären Schlägen gegen größere Banden zunehmend zersplittert. In dieser Woche teilte das FBI mit, es habe 63 neue Ransomware-Varianten identifiziert, die im vergangenen Jahr Schäden von mehr als 32 Millionen Dollar verursacht hätten.
Ein am 8. April veröffentlichter Bericht von TRM Labs stützt diese Einschätzung: Während das mit Ransomware verbundene Transaktionsvolumen auf der Blockchain von 1,9 Milliarden Dollar im Jahr 2024 auf 1,3 Milliarden Dollar im Jahr 2025 sank, traten im vergangenen Jahr 93 neue Varianten auf – ein Anstieg um 94 Prozent gegenüber 2024. Zugleich beobachtete TRM Labs, dass sich die Aktivität über Russland und andere Regionen ohne Auslieferungsabkommen mit den USA hinaus ausweitete.
„Was wir 2025 gesehen haben, ist ein Ransomware-Ökosystem, das fragmentierter ist als je zuvor – doch diese Fragmentierung schafft auch echte Schwachstellen", sagte Ari Redbord, globaler Leiter für Politik bei TRM Labs. Das alte Vorgehen, ganze Marken auszuschalten, sei gegen 161 Varianten weniger wirksam; erstmals jedoch fänden sich Akteure in erreichbaren Jurisdiktionen, schwächere Dienstebenen lägen offen und die Geldwäsche-Infrastruktur sei weit besser nachverfolgbar, als die Täter annähmen. Die Erkenntnisse aus früheren Leaks und Beschlagnahmungen eröffneten den Behörden die Chance, Ransomware-Banden in bislang ungekanntem Umfang zu stören. „Die Frage für 2026 ist, ob dieses Zeitfenster genutzt wird", so Redbord.
