Siber güvenlik firması Acronis, “JanaWare” adlı yeni bir fidye yazılımı türünün Türkiye’deki kullanıcıları hedef aldığını açıkladı.
The Record'un haberine göre; söz konusu fidye yazılımı operasyonu 2020’den beri sürüyor ve sistem yerel ayarları ile dış IP coğrafi konumuna göre çalışmayı sınırlayan bir kötü amaçlı yazılım türüyle ilişkili. Bu sayede yalnızca Türkiye’deki sistemlerde aktif hale geliyor.
Fidye taleplerinin ise oldukça düşük seviyede olduğu ve yaklaşık 200–400 dolar arasında değiştiği belirtildi. Acronis uzmanları, saldırganların sürümden kazanmayı hedeflediğini düşünüyor.
Uzmanlara göre; fidye yazılımın bölgesel odaklı olması ve nispeten küçük ölçekli operasyonlara yoğunlaşması fark edilmeden kalmasına yardımcı oldu. Bu durum, hedefli ve yerelleştirilmiş fidye yazılımı kampanyalarının tehdit ortamında sessizce varlığını sürdürebileceğini gösteriyor.
Acronis, fidye yazılımının genellikle ev kullanıcıları ile küçük ve orta ölçekli işletmeleri hedef aldığını ve kötü amaçlı Java arşivleri içeren oltalama (phishing) e-postaları yoluyla uygulandığını belirtti.
Saldırılar, “Adwind” adlı ve yoğun gizleme teknikleri (obfuscation) içeren bir kötü amaçlı yazılım ile başlıyor. Bu özellikler, tespit ve analiz süreçlerini zorlaştırıyor.
Fidye notları Türkçe yazılıyor ve kurbanlardan, Tox eşler arası ağı üzerinde çalışan ücretsiz merkeziyetsiz bir sohbet platformu olan qTox üzerinden saldırganlarla iletişime geçmeleri isteniyor.
Analiz edilen bazı vakalarda saldırılar, Microsoft Outlook üzerinden okunan bir e-posta ile başlıyor. E-postadaki bir Google Drive bağlantısı, kötü amaçlı bir dosyanın indirilmesine yol açan bir süreci tetikliyor. Acronis, popüler bir forumda paylaşılan bir kullanıcı raporunda, Outlook üzerinden açılan bir e-posta sonrası cihazdaki dosyaların JanaWare tarafından şifrelendiğinin doğrulandığını belirtti.
Kötü amaçlı yazılım, kurbanın sistem konumu, dili ve ülke ayarlarını kontrol ediyor; yalnızca Türkçe dil ve Türkiye konumu eşleşirse çalışmaya devam ediyor.
Acronis, bu Türkiye odaklı yaklaşımın uluslararası güvenlik araştırmacılarının fidye yazılımını incelemesini de zorlaştırdığını belirtiyor. Bu durum, yazılımın fırsatçı değil, belirli bir coğrafi hedefe yönelik planlı bir kampanyanın parçası olduğunu gösteriyor. Konum kontrolleri hem tespit edilmekten kaçınmak hem de yalnızca hedeflenen ortamda çalışmak için kullanılıyor.
Ayrıca fidye notunun doğrudan zararlı yazılımın içine gömülü olması da kampanyanın özellikle Türkiye’deki kullanıcıları hedef aldığını doğruluyor.