Cybercriminelen maken gebruik van een nieuwe ransomwarevariant genaamd JanaWare die zich specifiek richt op Turkse burgers, aldus een recent rapport van cybersecuritybedrijf Acronis. De ransomwarecampagne is actief sinds 2020 en gebruikt malware die de uitvoering beperkt tot systemen met Turkse taal- en locatie-instellingen, waardoor de aanval alleen binnen Turkije plaatsvindt.

De losgeldbedragen liggen relatief laag, tussen de 200 en 400 dollar, wat wijst op een strategie van lage waarde per slachtoffer maar een hoog volume aan aanvallen. Volgens de onderzoekers heeft deze regionale focus en kleinschalige aanpak ervoor gezorgd dat de campagne grotendeels onopgemerkt bleef. JanaWare wordt vooral ingezet tegen thuisgebruikers en kleine tot middelgrote bedrijven, waarbij de infectie meestal start via phishingmails met kwaadaardige Java-archieven.

De aanvallen beginnen met een malwarevariant genaamd Adwind, die verschillende technieken gebruikt om detectie en analyse te bemoeilijken, waaronder sterke obfuscatie. De losgeldbriefjes zijn in het Turks opgesteld en slachtoffers worden aangespoord contact op te nemen via qTox, een gratis gedecentraliseerd chatplatform dat werkt via het Tox peer-to-peer netwerk. Diverse gevallen begonnen met een e-mail die werd geopend in Microsoft Outlook, waarna een link naar Google Drive een proces activeerde dat leidde tot het downloaden van het schadelijke bestand.

De malware controleert de systeemlocatie, taal en landinstellingen van het slachtoffer en gaat alleen verder als deze overeenkomen met Turkije. Deze geografische beperking bemoeilijkt ook het onderzoek door internationale beveiligingsonderzoekers. Volgens Acronis wijst deze gerichte aanpak erop dat het niet om opportunistische aanvallen gaat, maar om een campagne met een duidelijk afgebakende geografische scope die locatiecontroles gebruikt om detectie te vermijden en alleen in de beoogde omgeving te opereren.

Het rapport van Acronis verschijnt te midden van waarschuwingen van cybersecurityonderzoekers en opsporingsinstanties over een fragmentatie van het ransomware-ecosysteem, na meerdere succesvolle acties tegen grote ransomwaregroepen. Zo meldde de FBI vorige week de identificatie van 63 nieuwe ransomwarevarianten die vorig jaar voor meer dan 32 miljoen dollar aan schade zorgden. Een rapport van TRM Labs, gepubliceerd op 8 april, bevestigt deze trend met een toename van 93 nieuwe ransomwarevarianten in 2025, een stijging van 94 procent ten opzichte van 2024. Daarnaast breidt ransomware-activiteit zich uit naar regio’s buiten Rusland en landen zonder uitleveringsverdragen met de Verenigde Staten.