Die Cybersicherheitsgemeinde konzentriert sich traditionell auf die spektakulärsten Fälle: Wenn Großunternehmen oder kritische Infrastrukturen gehackt werden, berichten Medien weltweit. Doch diese Fokussierung auf “Big Game Hunting” führt zu einer verzerrten Wahrnehmung der Ransomware-Realität. Wie die aktuelle Analyse von Acronis zeigt, findet ein erheblicher Teil der Erpressungskampagnen in deutlich kleinerem Maßstab statt – mit niedrigeren Forderungen, aber deutlich höherer Häufigkeit.
Die aufgedeckte Kampagne, getauft “JanaWare”, nutzt ein bewährtes Angriffsschema: Opfer erhalten Phishing-E-Mails mit Links zu Cloud-gehosteten Dateien. Diese enthalten einen bösartigen Java-Archive mit einer modifizierten Variante des Adwind RAT (Remote Access Trojan), einem mittlerweile 15 Jahre alten, vielfach abgewandelten Fernzugriffstrojaner. Die Malware ist clever konstruiert: Sie überprüft zunächst, ob sich das Opfer in der Türkei befindet und das Betriebssystem auf Türkisch eingestellt ist. Dieses Geofencing verhindert, dass die Kampagne in andere Länder überschwappt und unerwünschte Aufmerksamkeit erregt.
Anschließend beginnt die Malware systematisch, die Abwehrmaßnahmen des Computers zu demontieren. Windows Defender wird deaktiviert, andere Antivirus-Programme werden blockiert, Windows-Updates unterdrückt und Sicherheitsmeldungen stummgeschaltet. Diese Techniken mögen nicht innovativ sein, doch gegen schlecht gesicherte kleine Ziele erweisen sie sich als äußerst wirksam. Zum Abschluss installiert die Malware die eigentliche Ransomware-Komponente und zeigt ein generisches Erpresserschreiben mit Forderungen zwischen 200 und 400 Dollar an.
Was diese Kampagne besonders bemerkenswert macht, ist ihre Langlebigkeit. Sicherheitsforscher gehen davon aus, dass sie seit mindestens 2020 unbemerkt läuft – sechs Jahre, in denen sie kontinuierlich Einkommen generiert. Dies ist möglich, weil kleine Anschläge oft gar nicht gemeldet werden. Während große Unternehmen Vorfälle dokumentieren und an Behörden melden, schweigen Privatpersonen und KMU häufig aus Scham oder Unwissenheit. Laut Verizon’s “Data Breach Investigations Report” 2025 ist Ransomware in 88 Prozent der SMB-Breaches präsent – deutlich höher als die 39 Prozent bei Großunternehmen.
Für Deutschland ist dieser Fall relevant als Warnsignal. Zwar konzentriert sich JanaWare derzeit auf die Türkei, doch ähnliche lokalisierte Kampagnen könnten auch gegen deutschsprachige Ziele laufen, ohne dass die Sicherheitsgemeinde sie bemerkt. KMU und Privatnutzer sollten ihre Abwehrmaßnahmen überprüfen und wissen: Auch sie sind lukrative Ziele für organisierte Kriminelle – die Statistiken zeigen nur die Spitze des Eisbergs.