Según un informe de la firma de ciberseguridad Acronis, cibercriminales están utilizando una nueva variante de ransomware conocida como JanaWare para atacar a particulares y pequeñas empresas en Turquía.
Los investigadores descubrieron que esta operación ha estado activa desde 2020. El malware emplea restricciones de ejecución basadas en la configuración regional del sistema y la geolocalización de la IP externa para garantizar que solo infecte equipos ubicados dentro de Turquía.
Los investigadores de Acronis señalaron que el enfoque regional y la naturaleza a pequeña escala de la campaña probablemente permitieron que pasara desapercibida durante años. Los atacantes parecen seguir una estrategia de bajo valor y alto volumen, con exigencias de rescate que oscilan entre los 200 y 400 dólares.
Vectores de infección dirigidos
Los ataques se dirigen principalmente a usuarios domésticos y a pequeñas y medianas empresas. La mayoría de las víctimas se infectan a través de correos electrónicos de phishing que contienen archivos Java maliciosos.
Acronis detectó que el ransomware suele ir precedido por una infección inicial de una variante de malware llamada Adwind. Este malware precursor utiliza técnicas de ofuscación intensiva para dificultar la detección y el análisis por parte del software de seguridad.
En varios de los incidentes analizados, la cadena de ataque comenzó con correos electrónicos leídos a través de Microsoft Outlook. Un enlace de Google Drive dentro de estos mensajes activaba un proceso que descargaba la carga útil maliciosa.
Las notas de rescate de JanaWare están escritas en turco e instruyen a las víctimas a ponerse en contacto con los atacantes a través de qTox, una plataforma de chat descentralizada que funciona sobre la red peer-to-peer Tox. La nota de rescate está integrada directamente en el propio malware.
Este enfoque localizado también sirve para limitar la capacidad de los investigadores de seguridad internacionales para examinar la amenaza. Acronis afirmó que el alcance geográfico sugiere que la campaña es una operación dirigida y no oportunista.
La aparición de JanaWare ocurre en un momento en que el ecosistema global del ransomware atraviesa un proceso de fragmentación. Tras la desarticulación de varias de las principales bandas de ransomware, el FBI identificó recientemente 6 de nuevas variantes que causaron pérdidas superiores a los 32 millones de dólares el año pasado.
Los datos de TRM Labs muestran que, si bien el volumen de ransomware vinculado a blockchain cayó de 1.900 millones de dólares en 2024 a 1.300 millones en 2025, el número de nuevas variantes aumentó un 94% respecto al año anterior.
"Lo que vimos en 2025 es un ecosistema de ransomware más fragmentado que nunca", afirmó Ari Redbord, director global de políticas de TRM Labs. Redbord señaló que, aunque la desarticulación de marcas específicas es menos efectiva contra el creciente número de variantes, la fragmentación está creando nuevas oportunidades para que las fuerzas del orden rastreen la infraestructura de lavado de dinero.
