Am Ende der Infektionskette steht eine angepasste Variante des Adwind RAT, eines fast anderthalb Jahrzehnte alten und vielfach abgewandelten Java-Fernzugriffstrojaners. Diese Variante richtet die Verbindung zum Steuerungsserver (Command-and-Control) ein und verankert sich im System, indem sie sich für den Start beim Hochfahren registriert. Anschließend durchläuft sie mehrere Prüfungen.
Zuerst und besonders streng stellt die Schadsoftware sicher, dass sich das Opfer in der Türkei befindet und die Spracheinstellung des Rechners auf Türkisch steht. So konzentriert sich der Angreifer auf ihm vertraute Ziele und verhindert, dass die Angriffe in andere Regionen überschwappen und dort unerwünschte Aufmerksamkeit erregen. Nach dieser geografischen Eingrenzung versucht die Malware, das System zu schwächen: Sie deaktiviert Microsoft Defender, sucht nach weiterer Antiviren-Software, blockiert Windows-Updates, unterdrückt Sicherheitshinweise auf dem Bildschirm und beseitigt jede Möglichkeit zur Datenwiederherstellung.
Keine dieser Techniken ist besonders neu oder ausgefeilt, gegen ungeschützte kleine Ziele wirken sie jedoch zuverlässig. Laut Pontiroli zeigt der Fall „JanaWare", dass auch Kampagnen mit geringerem wirtschaftlichem Maßstab ein vergleichsweise reifes technisches Fundament aufweisen können – etwa Verschleierung, Polymorphie, modulare Auslieferung der Schadlast und anonymisierte Kommunikation.
Den eigentlichen Abschluss bildet eine Ransomware-Erweiterung namens „JanaWare" samt allgemein gehaltener Erpressernachricht, die der modifizierte Adwind RAT nachlädt. Die Forscher beobachteten Lösegeldforderungen zwischen 200 und 400 Dollar.
Das klingt im heutigen Ransomware-Markt nach wenig, doch das Kalkül ist ein anderes. Kleinere Opfer ließen sich mit skalierbaren Methoden wie Phishing leichter kompromittieren, sie verfügten über schwächere Abwehr und zahlten oft schneller, erläutert Pontiroli. Statt stark in wenige große Ziele zu investieren, erzeuge man durch viele kleine Opfer mit niedrigen Forderungen stetige Einnahmen. Zugleich dürfe die Wirkung nicht unterschätzt werden: Sind betroffene Organisationen Teil einer Lieferkette oder erbringen Dienste für andere, könne hochvolumige Ransomware mit niedrigen Forderungen trotzdem breitere Störungen auslösen.
Wie viele Opfer JanaWare in sechs Jahren gefunden hat, bleibt unklar – auch weil Forscher bei Privatpersonen und kleinen Betrieben nicht über dieselben Telemetriedaten verfügen wie bei großen Organisationen, und die wenigsten Privatleute in der Türkei Schadsoftware-Proben bei VirusTotal hochladen.
Dadurch entstehe ein verzerrtes Bild der Ransomware-Lage, argumentiert Pontiroli. Tatsächlich konzentriere sich ein großer Teil der Aktivität auf kleinere Organisationen. Er verweist auf den „Data Breach Investigations Report" (DBIR) 2025 von Verizon, demzufolge Ransomware in 88 Prozent der Sicherheitsvorfälle bei KMU vorkommt, gegenüber lediglich 39 Prozent bei größeren Unternehmen. Aufsehenerregende Angriffe auf Konzerne beherrschten wegen ihres Ausmaßes und der Meldepflichten die Schlagzeilen, während Vorfälle bei kleineren Organisationen oft unauffällig und unberichtet abgewickelt würden.
