La société de cybersécurité **Acronis** a découvert une campagne de ransomware ciblée affectant les utilisateurs en Turquie. Le ransomware, nommé **JanaWare**, opère depuis 2020, impactant principalement les utilisateurs domestiques et les petites et moyennes entreprises. ### Focus régional et évasion Les chercheurs d'**Acronis** soulignent le focus délibéré de la campagne sur la Turquie, ce qui lui a permis de passer largement inaperçue. Le malware inclut des vérifications de la locale et de la langue du système, garantissant qu'il ne s'exécute que sur les systèmes configurés pour la langue et la localisation turques. Ce ciblage régional limite non seulement l'exposition, mais entrave également l'analyse par les chercheurs internationaux en sécurité. ### Vecteur d'infection et détails techniques Les attaques commencent généralement par des e-mails de phishing contenant des archives Java malveillantes. Ces e-mails exploitent souvent **Microsoft Outlook**, avec un lien **Google Drive** menant au téléchargement d'un fichier malveillant. L'infection initiale implique le RAT **Adwind**, connu pour ses techniques d'obfuscation conçues pour échapper à la détection. ### Demandes de rançon et communication Les notes de rançon, rédigées en turc, demandent aux victimes de contacter les attaquants via qTox, une plateforme de chat décentralisée fonctionnant sur le réseau peer-to-peer Tox. Les faibles demandes de rançon suggèrent une stratégie visant un grand nombre de victimes avec des paiements plus faibles. ### Fragmentation du paysage du ransomware Cette campagne **JanaWare** émerge dans un contexte de tendance plus large de fragmentation au sein de l'écosystème du ransomware. Suite aux perturbations de gangs de ransomware plus importants, le nombre de nouvelles variantes de ransomware a considérablement augmenté. Un rapport du **FBI** a récemment identifié 63 nouvelles variantes de ransomware ayant causé plus de 32 millions de dollars de pertes l'année dernière. Un rapport de **TRM Labs** soutient davantage cette tendance, notant une augmentation de 94 % des nouvelles variantes de ransomware en 2025 par rapport à 2024, malgré une diminution globale du volume lié au ransomware sur la blockchain. Ari Redbord, responsable mondial des politiques chez **TRM Labs**, suggère que cette fragmentation offre de nouvelles opportunités aux forces de l'ordre pour perturber les opérations de ransomware, en particulier avec des opérateurs dans des juridictions plus accessibles et des infrastructures de blanchiment plus traçables. <html> <a rel="noopener" href="https://www.recordedfuture.com/?utm_source=therecord&amp;utm_medium=ad"><figure><img src="https://cms.therecord.media/uploads/2025_0514_Record_Ads_970x250_1_d144dbf901.png" data-nimg="1" decoding="async" height="500" width="1000" alt="Recorded Future"></figure></a>  </html>