サイバーセキュリティ企業Acronisの新しいレポートによると、サイバー犯罪者はJanaWareという新しいランサムウェア亜種を使用してトルコの人々を標的にしています。
研究者らは次のように述べました。このランサムウェア操作は2020年から続いており、システムロケールと外部IPジオロケーションに基づいて実行制約を実施するマルウェア亜種に関連しており、その活動をトルコ国内のシステムのみに制限しています。
身代金要求額は非常に低く、200~400ドル程度であり、Acronisはハッカーが低価値・高ボリュームアプローチを採用している可能性が高いと述べています。
「キャンペーンが数年間活動していることを示す証拠があるにもかかわらず、その地域的焦点と比較的小規模な操作により、大部分が認識されないままの状態に保たれている可能性があります」と研究者らは述べました。「このケースは、対象を絞った局所的なランサムウェアキャンペーンが脅威環境の中で静かに存続する可能性があることを実証しています。」
Acronisは、このランサムウェアは通常、ホームユーザーおよび中小規模企業を標的にしており、ほとんどが悪意のあるJavaアーカイブを配信するフィッシングメールを通じて感染していると述べました。
攻撃は「検出と分析を妨害する、難読化を含む複数の機能を持つ」Adwindと呼ばれるマルウェア亜種から始まると、Acronisは述べています。
身代金要求書はトルコ語で書かれており、被害者はToxピアツーピアネットワークで動作する無料の分散チャットプラットフォームであるqToxを通じてハッカーに連絡することが奨励されています。
分析された複数のインシデントはMicrosoft Outlookで読まれたメールから始まりました。メール内のGoogle Driveリンクは、悪意のあるファイルのダウンロードにつながるプロセスの起動をトリガーしました。Acronisは、Outlookでメールを開いた後、デバイスファイルがJanaWareによって暗号化されたことを確認した被害者レポートを有名な公開フォーラムで共有しました。
マルウェアは被害者のシステムロケーション、言語、国の設定をチェックし、トルコ語と位置に一致する必要があります。システムがトルコにある場合にのみ進行します。
Acronisは、トルコへの焦点がマルウェアとランサムウェアを検査する国際的なセキュリティ研究者の能力を制限することにも注目しました。彼らはトルコ住民の具体的な標的化が「マルウェアは日和見主義的ではなく、代わりに定義された地理的範囲の標的化されたキャンペーンの一部であり、検出を回避し、意図した環境でのみ動作することを確認するために位置情報チェックを使用していることを示唆しています」と示唆しました。
Acronisによると、トルコ語で書かれた身代金要求書はマルウェア内に直接埋め込まれており、キャンペーンがトルコ住民を具体的に標的にしていることを証明するもう1つの例を提供しています。
Acronisレポートは、より大規模なランサムウェアギャングの複数の高い注目度の混乱に続いて、ランサムウェアエコシステムが断片化しているというサイバーセキュリティ研究者および法執行機関からの警告の中で発表されます。
先週、FBIは昨年3200万ドル以上の損害を引き起こした63の新しいランサムウェア亜種を特定したと述べました。
TRM Labsが4月8日に発表したランサムウェアレポートは、その評価を裏付けており、ブロックチェーン上のランサムウェア関連のボリュームが2024年の19億ドルから2025年の13億ドルに減少したが、昨年93の新しいランサムウェア亜種が出現したことを発見しました。これは2024年と比較して94%の増加を表しています。
しかし、TRM Labsは、ランサムウェアの活動がロシアおよび米国との犯罪人引き渡し条約を持たない他の地域を超えて拡大していることを発見しました。
「2025年に私たちが見たのは、かつてないほど断片化されたランサムウェアエコシステムです。しかし、その断片化は実際の脆弱性も生み出しています」と、TRM Labsのグローバル政策責任者であるAri Redbordは述べました。「ブランドレベルの買収という古い戦術は161の亜種に対しては効果が薄れていますが、初めて到達可能な管轄区域のオペレータ、より弱いサービスレイヤーが露出し、俳優が想定するよりもはるかに追跡可能なマネーロンダリングインフラが見えます。」
Redbordは、過去のリークと押収から得た情報が、法執行機関に「以前に見たことのないスケールで」ランサムウェアギャングを破壊する機会を与えたと付け加えました。
「2026年の問題は、そのウィンドウが使われるかどうかです」とRedbordは述べました。
翻訳元: https://therecord.media/new-janaware-ransomware-targeting-turkey
