🔍 Contexte
Publié le 15 avril 2026 par l’équipe Acronis TRU, ce rapport présente l’analyse technique d’une campagne de ransomware persistante baptisée JanaWare, active depuis au moins 2020 et toujours en activité en novembre 2025.
🎯 Ciblage et victimologie
La campagne cible exclusivement les utilisateurs turcs (particuliers et PME), avec des demandes de rançon modestes de 200 à 400 USD, caractéristiques d’une approche volume/faible valeur. Le ciblage géographique est techniquement enforced via :
- Vérification de la locale système (langue et région turque)
- Géolocalisation de l’IP externe (code pays commençant par “TR”)
⛓️ Chaîne d’infection
- Phishing par email (via Outlook) contenant un lien Google Drive
- Téléchargement d’une archive JAR malveillante via Chrome
- Exécution via
javaw.exe(JRE 1.8.0_451) - Déploiement du module ransomware JanaWare
🛠️ Caractéristiques techniques
- Obfuscation : utilisation des obfuscateurs Stringer et Allatori
- Polymorphisme : classe
FilePumperqui auto-modifie le JAR en ajoutant du contenu aléatoire (dizaines de Mo), générant un hash unique par infection - Configuration embarquée : domaine C2, ports TCP, version, type de persistance (registre), mot de passe partagé (authentification C2 + clé de déchiffrement des modules)
- Chiffrement : AES, clé transmise au C2 via Tor
- Communication C2 : réseau Tor pour le module ransomware ; contact victime via qTox ou site .onion
💥 Actions post-compromission
- Désactivation de Microsoft Defender et suppression des notifications de sécurité
- Suppression des Volume Shadow Copies (VSS)
- Énumération des antivirus installés
- Chiffrement de fichiers sur tous les lecteurs disponibles
- Exfiltration et suppression de fichiers possibles
- Dépôt de la note de rançon (
_ONEMLI_NOT_<random>.TXT) dans plusieurs dossiers
📋 Type d’article
Il s’agit d’une publication de recherche / analyse technique produite par l’équipe TRU d’Acronis, visant à documenter une menace régionale persistante et à fournir des IoCs exploitables.
🧠 TTPs et IOCs détectés
TTP
- T1566.002 — Phishing: Spearphishing Link (Initial Access)
- T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
- T1204.002 — User Execution: Malicious File (Execution)
- T1027 — Obfuscated Files or Information (Defense Evasion)
- T1027.002 — Obfuscated Files or Information: Software Packing (Defense Evasion)
- T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
- T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
- T1490 — Inhibit System Recovery (Impact)
- T1486 — Data Encrypted for Impact (Impact)
- T1041 — Exfiltration Over C2 Channel (Exfiltration)
- T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
- T1571 — Non-Standard Port (Command and Control)
- T1090.003 — Proxy: Multi-hop Proxy (Command and Control)
- T1005 — Data from Local System (Collection)
IOC
- IPv4 :
151.243.109.115— AbuseIPDB · VT · ThreatFox - Domaines :
elementsplugin.duckdns.org— VT · URLhaus · ThreatFox - URLs :
https://drive.google.com/uc?export=download&id=1j7V_-umsxY6oVXY1T0XCNGyXI0q3p9qO— URLhaus - MD5 :
4f0444e11633a331eddb0deeec17fd69— VT · MalwareBazaar - MD5 :
b2d5bbf7746c2cb87d5505ced8d6c4c6— VT · MalwareBazaar - Fichiers :
_ONEMLI_NOT_F3E4CFA185D1AEAE.TXT
Malware / Outils
- Adwind RAT (rat)
- JanaWare (ransomware)
🟢 Indice de vérification factuelle : 75/100 (haute)
- ✅ acronis.com — source reconnue (Rösti community) (20pts)
- ✅ 12596 chars — texte complet (fulltext extrait) (15pts)
- ✅ 6 IOCs dont des hashes (15pts)
- ⬜ 0/3 IOCs confirmés externellement (0pts)
- ✅ 14 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://www.acronis.com/en/tru/posts/new-janaware-ransomware-targets-turkey-via-adwind-rat/