RansomwareMalwarePhishing

JanaWare: Neue Ransomware zielt gezielt auf türkische Nutzer ab

JanaWare: Neue Ransomware zielt gezielt auf türkische Nutzer ab
Zusammenfassung

Die Cybersicherheitsfirma Acronis hat eine neue Ransomware-Variante namens JanaWare entdeckt, die seit 2020 gezielt türkische Bürger ins Visier nimmt. Die Malware nutzt eine ausgefeilte Strategie, um ihre Aktivitäten ausschließlich auf Systeme in der Türkei zu beschränken – durch Überprüfung von Systemgebietsschema und geografischem Standort. Während die Lösegeldforderungen mit 200 bis 400 Dollar bewusst niedrig gehalten sind, deutet der Ansatz auf eine Strategie mit hohem Volumen hin, die es der Kampagne ermöglicht hat, jahrelang unter dem Radar zu bleiben. Die Infektionen erfolgen typischerweise durch Phishing-E-Mails mit bösartigen Java-Archiven, die hauptsächlich kleine und mittlere Unternehmen sowie Privatnutzer treffen. Dieser Fall illustriert ein wachsendes Problem: Nach der Zerschlagung großer Ransomware-Gangs fragmentiert sich das Ökosystem zunehmend in kleinere, regional fokussierte Kampagnen. Mit über 160 neuen Varianten im Jahr 2025 wird die Bedrohungslandschaft komplexer. Für deutsche Nutzer und Unternehmen ist dies relevant, da ähnliche lokalisierte Angriffsmuster auch hierzulande entstehen könnten und die wachsende Zahl kleinerer, dezentralisierter Ransomware-Operationen schwerer zu verfolgen sind.

Die Entdeckung von JanaWare durch Acronis offenbart eine seit 2020 andauernde, bisher kaum bekannte Ransomware-Kampagne gegen die türkische Bevölkerung. Die Malware nutzt eine ausgefeilte Strategie, um ihre Aktivitäten geografisch zu beschränken und damit der Entdeckung zu entgehen.

Die Infektionsvektoren sind klassisch, aber effektiv: Phishing-E-Mails liefern bösartige Java-Archive aus. Besonders perfide ist der Einsatz von Google-Drive-Links in Microsoft-Outlook-Nachrichten, die unvorsichtige Nutzer zur Ausführung malware-beladener Dateien verleiten. Einmal aktiviert, prüft JanaWare streng die Systemumgebung: Nur wenn Sprache auf Türkisch eingestellt ist und die geografische Position Türkei entspricht, wird die Verschlüsselung durchgeführt.

Dem Ransomware liegen mehrere technische Sicherungsmechanismen zugrunde. Die Malware basiert auf Adwind, einem Trojan mit starker Verschleierung und Erkennungshinderungsfunktionen. Der Quellcode der Ransom-Nachricht ist direkt in die Malware eingebettet und ausschließlich auf Türkisch verfasst — ein weiteres Indiz für die gezielte Ausrichtung. Opfer werden aufgefordert, über qTox, eine dezentralisierte Chat-Plattform im Tox-Peer-to-Peer-Netzwerk, mit den Kriminellen zu kommunizieren.

Die Akademisierung dieser Kampagne verdeutlicht einen größeren Trend: Das Ransomware-Ökosystem fragmentiert sich zunehmend. Während hochprofilierte Gangs durch Law-Enforcement-Maßnahmen zerschlagen wurden, entstehen spezialisierte, regionale Varianten. Das FBI identifizierte 2024 allein 63 neue Ransomware-Varianten mit Schäden über 32 Millionen Dollar. TRM Labs dokumentierte, dass 2024 93 neue Ransomware-Varianten auftauchten — ein Anstieg um 94 Prozent gegenüber 2023.

Paradoxerweise erzeugt diese Fragmentierung auch neue Schwachstellen im kriminellen Ökosystem. Ransomware-Aktivitäten verlagern sich zunehmend in Länder mit Auslieferungsabkommen mit den USA, und die dezentralisierte Infrastruktur wird anfälliger für Ermittlungen. Sicherheitsexperten sehen 2026 als entscheidend: Werden internationale Behörden das Momentum nutzen, um gegen die neuen, verteilten Ransomware-Operationen vorzugehen?

Für deutsche Unternehmen bleibt JanaWare eine Mahnung: Auch spezialisierte, geografisch begrenzte Bedrohungen erfordern robuste Sicherheitspraktiken und Mitarbeiterschulung gegen Phishing.

Ähnliche Artikel