ICT Media
Siber güvenlik şirketi Acronis TRU ekibinin yürüttüğü araştırmada, polimorfik özelliklere sahip özelleştirilmiş bir Adwind RAT (Java RAT) varyantı üzerinden “JanaWare” olarak adlandırılan bir fidye yazılımı modülünü dağıtan bir tehdit kümesi tespit edildi.
Araştırmada yer alan kötü amaçlı yazılım örnekleri, altyapı ve telemetri analizlerine göre kampanyanın büyük ölçüde Türkiye’deki kullanıcıları hedef aldığı belirtildi. Zararlı yazılımın, sistem yerel ayarları ve harici IP coğrafi konumuna bağlı olarak çalışmayı sınırlandırdığı ve yalnızca Türkiye’de bulunan sistemlerde etkinleştiği aktarıldı. Gözlemlenen örnekler ve telemetri verileri, faaliyetlerin en az 2020’den bu yana sürdüğünü gösterdi. Kasım 2025’te derlenen bir örnek ise komuta-kontrol (C2) altyapısının hâlen aktif olduğunu ortaya koydu. Araştırmada, obfuscation (gizleme), polimorfizm ve coğrafi kısıtlamaların, tehdidin uzun süre sınırlı görünürlükle devam etmesine katkı sağladığı ifade edildi.
Rapora göre mağdur profilini ağırlıklı olarak bireysel kullanıcılar ile küçük ve orta ölçekli işletmeler oluşturuyor. İlk erişimin, zararlı Java arşivleri içeren oltalama (phishing) e-postalarıyla sağlandığı değerlendirildi. İncelenen örneklerde talep edilen fidye miktarının 200 ila 400 dolar arasında değiştiği, bunun da düşük tutarlı ancak yüksek hacimli bir kazanç modeline işaret ettiği kaydedildi. Araştırmada, bu yapının kurumsal hedefli fidye yazılımlarından ayrıştığına dikkat çekildi. Kurumsal saldırıların genellikle yüksek değerli hedeflere ve yüksek fidyelere odaklandığı, bu kampanyanın ise daha geniş kullanıcı kitlesine yöneldiği belirtildi.
Araştırma kapsamında, fidye yazılımı ile ilişkili olduğu değerlendirilen Adwind RAT varyantı analiz edildi. VirusTotal üzerinden elde edilen JAR örneklerinden birinin farklı davrandığı tespit edildi. Analiz ortamında çalıştırılan örneğin, sistemde Türkçe bir fidye notu bıraktığı görüldü. Notta, dosyaların şifrelendiği ve geri alınabilmesi için ödeme yapılması gerektiği belirtildi. Saldırganların, mağdurlarla iletişim kurmak için merkeziyetsiz ve uçtan uca şifreli bir mesajlaşma uygulaması olan qTox kullanılmasını istediği aktarıldı. Bazı kampanyalarda ise kullanıcıların Tor Browser indirerek .onion siteleri üzerinden iletişime yönlendirildiği ifade edildi.
Telemetri analizlerine göre saldırı zinciri, oltalama e-postasıyla başladı. Kullanıcının Microsoft Outlook üzerinden e-postayı açmasının ardından Google Chrome aracılığıyla bir Google Drive bağlantısına yönlendirildiği, buradan indirilen zararlı JAR dosyasının Java çalıştırıcısı ile devreye girerek fidye yazılımını aktif hale getirdiği belirlendi. Teknik incelemede, zararlı yazılımın analiz edilmesini zorlaştırmak için Stringer ve Allatori gibi araçlarla gizlendiği tespit edildi. Ayrıca “FilePumper” adlı sınıf sayesinde kendini değiştirerek her enfeksiyonda farklı bir dosya hash’i ürettiği belirtildi.
Araştırmada, zararlı yazılımın yapılandırmasında komuta-kontrol sunucuları, TOR kullanımı, sürüm bilgisi, kalıcılık yöntemleri ve ortak parola gibi parametrelerin yer aldığı ifade edildi. Bu parolanın hem kimlik doğrulama hem de ek modüllerin çözülmesinde kullanıldığı kaydedildi. Ayrıca yazılımın, sistem dilinin Türkçe olup olmadığını ve IP adresinin Türkiye’de bulunup bulunmadığını kontrol ettiği, bu koşullar sağlanmadığında çalışmadığı belirtildi. Bu nedenle kampanyanın Türkiye’ye odaklı olduğu değerlendirildi.
Araştırmaya göre enfeksiyonun ardından zararlı yazılımın Microsoft Defender’ı devre dışı bıraktığı, güvenlik bildirimlerini kapattığı, yedekleri sildiği ve güncellemeleri engellediği tespit edildi. Ardından indirilen modülün dosyaları AES algoritmasıyla şifrelediği, bazı durumlarda sildiği veya dışarı aktardığı ve TOR üzerinden C2 ile iletişim kurduğu aktarıldı. Fidye notlarının sistemde farklı klasörlere bırakıldığı ve genellikle “ONEMLI_NOT” ifadesiyle başladığı kaydedildi. Sonuç bölümünde, JanaWare fidye yazılımının Türkiye odaklı, uzun süredir aktif olan ve düşük fidye–yüksek hacim stratejisi izleyen bir operasyon olduğu değerlendirildi. Gelişmiş gizleme teknikleri ve coğrafi sınırlamaların, kampanyanın uzun süre düşük profilli kalmasına katkı sağladığı ifade edildi.
