Ransomware Baru 'JanaWare' Targetkan Pengguna di Turki Lewat Trojan Adwind yang Dimodifikasi
Baca dalam 60 detik
- Ransomware baru bernama JanaWare terdeteksi menargetkan pengguna komputer serta bisnis kecil di Turki melalui skema email phishing berbahasa lokal.
- Serangan ini memanfaatkan versi modifikasi dari Trojan Adwind (RAT) yang secara diam-diam memprofilkan sistem korban untuk menentukan apakah target tersebut cukup menguntungkan untuk diserang lebih lanjut.
- Jika dinilai berharga, muatan JanaWare akan diunduh untuk mengenkripsi file dan meninggalkan catatan tebusan yang bahasanya serta nilai tebusannya telah disesuaikan khusus untuk warga Turki.
Sebuah keluarga ransomware baru bernama JanaWare terdeteksi mulai menargetkan pengguna komputer di Turki. Kampanye serangan ini mengandalkan versi modifikasi dari Remote Access Trojan (RAT) lintas platform yang dikenal sebagai Adwind untuk mendapatkan akses awal ke sistem korban.
Fakta Kunci Serangan Ransomware JanaWare:
- Target Utama: Operasi ini secara khusus berfokus pada pengguna individu dan bisnis skala kecil di Turki, di mana kontrol keamanan sering kali lebih lemah.
- Vektor Infeksi: Rantai serangan dimulai dengan pesan phishing atau rekayasa sosial berbahasa Turki yang memanipulasi korban agar membuka tautan atau dokumen lampiran berbahaya.
- Taktik Selektif: Adwind RAT tidak langsung mengenkripsi file. Ia digunakan untuk mengumpulkan data sistem, memprofilkan korban, dan baru akan mengunduh muatan JanaWare jika target dinilai menguntungkan.
Kombinasi antara RAT yang sudah dikenal luas dengan logika ransomware baru serta model distribusi yang disesuaikan secara lokal, membuat ancaman ini sangat berbahaya bagi para korban di Turki.
Analis ancaman dari Acronis pertama kali mengidentifikasi aktivitas JanaWare ini saat memantau serangkaian intrusi berbasis Adwind yang menunjukkan pola perilaku tidak wajar pada sejumlah endpoint di wilayah Turki.
Tahapan Infeksi dan Mekanisme Serangan
Alih-alih menyebar melalui satu file biner mandiri yang mudah dideteksi, kelompok peretas ini menggunakan taktik berlapis. Berikut adalah rincian tahapan serangan JanaWare berdasarkan analisis sistem:
| Fase Serangan | Detail Aktivitas Malware |
|---|---|
| Infiltrasi Awal (Adwind RAT) | Korban berinteraksi dengan email phishing. Skrip yang disamarkan menginstal Adwind RAT ke dalam memori dan menetapkan persistensi (seperti jadwal tugas atau registry) agar tidak terdeteksi oleh perangkat lunak antivirus. |
| Spionase & Profiling | RAT secara diam-diam mengumpulkan informasi penting seperti versi OS, perangkat lunak yang diinstal, dan daftar file, lalu mengirimkannya ke server Command-and-Control (C2) milik peretas. |
| Eksekusi Ransomware | Berdasarkan profil yang dikumpulkan, RAT diinstruksikan untuk mengunduh JanaWare. Sebelum enkripsi dimulai, ransomware akan menonaktifkan alat keamanan lokal dan menghapus cadangan data (shadow copies). |
| Pemerasan (Extortion) | File penting diubah namanya dan dienkripsi. Ransomware meninggalkan catatan tebusan dengan instruksi dalam bahasa lokal serta penetapan harga pemerasan yang tampaknya telah disesuaikan dengan kondisi pasar di Turki. |
Untuk mengurangi risiko dari JanaWare dan operasi serupa berbasis RAT, perusahaan dan individu sangat disarankan untuk memprioritaskan filter email, pelatihan kesadaran keamanan, penggunaan solusi pelindungan endpoint yang kuat, serta rutin melakukan pencadangan data secara offline.
