JanaWare ransomware là một biến thể mã độc tống tiền nhắm vào người dùng gia đình và doanh nghiệp nhỏ, với chuỗi lây nhiễm dựa trên Java Archive (JAR) và một biến thể tùy biến của Adwind RAT. Chiến dịch này nổi bật trong nhóm tin tức bảo mật vì cơ chế phát tán qua email lừa đảo, thực thi qua javaw.exe, và khả năng né tránh phát hiện bằng geofencing.
Tin tức bảo mật về chiến dịch JanaWare ransomware
Chuỗi tấn công bắt đầu bằng email phishing chứa hoặc dẫn tới một tệp JAR độc hại được lưu trữ trên Google Drive. Khi nạn nhân mở liên kết qua Outlook, Chrome tải tệp xuống và thực thi bằng javaw.exe trên máy đích. Cách chuyển giao giữa các ứng dụng hợp lệ này khiến mã độc ransomware khó bị phát hiện ở giai đoạn đầu.
Sau khi JAR chạy, nó nạp một phiên bản Adwind RAT đã được chỉnh sửa mạnh để đóng vai trò multi-stage loader cho payload ransomware. Telemetry và phân tích sandbox cho thấy các mẫu Adwind trong chiến dịch này có thêm module và script hậu khai thác chưa từng xuất hiện trong các biến thể được công bố trước đó.
Chuỗi hoạt động được cho là đã tồn tại từ ít nhất 2020, và một mẫu biên dịch vào tháng 11/2025 xác nhận hạ tầng command-and-control (C2) vẫn còn hoạt động tại thời điểm phân tích. Tham chiếu bổ sung từ báo cáo gốc có thể xem tại: Acronis Threat Research Unit report.
Cơ chế lây nhiễm và thực thi
JanaWare sử dụng một mô hình phát tán qua phishing email kết hợp tệp JAR đặt trên nền tảng lưu trữ hợp lệ. Khi người dùng tương tác với liên kết, file được tải về và thực thi qua javaw.exe, làm cho hoạt động ban đầu trông giống tiến trình ứng dụng bình thường.
Đây là điểm quan trọng trong phát hiện tấn công: nhiều công cụ giám sát cơ bản chỉ nhìn thấy tiến trình Java hợp lệ, trong khi thực tế bên trong là một loader độc hại. Cách triển khai này làm giảm hiệu quả của các cơ chế kiểm tra dựa trên hành vi bề mặt.
Giai đoạn tải payload
Sau khi thực thi, Adwind RAT tải module ransomware JanaWare theo từng giai đoạn. Mã độc chỉ thả payload mã hóa sau khi xác định môi trường mục tiêu đáp ứng các điều kiện cài sẵn.
Cơ chế này giúp chiến dịch giảm nhiễu khi phân tích trong sandbox và hạn chế lộ diện trên các hệ thống ngoài vùng mục tiêu.
Geofencing và tự biến đổi của malware
Điểm nổi bật của mã độc ransomware này là lớp né tránh phát hiện bằng geofencing. Trước khi thực thi hành vi độc hại, mã độc kiểm tra:
- Locale của hệ thống
- Language settings
- External IP geolocation của máy chủ
Chỉ khi môi trường khớp với cài đặt ngôn ngữ Thổ Nhĩ Kỳ và địa chỉ IP trả về mã quốc gia bắt đầu bằng TR, ransomware mới tiếp tục chạy. Ngoài vùng này, tiến trình sẽ tự kết thúc, khiến việc phân tích từ bên ngoài khó quan sát được hành vi thực tế.
Chiến dịch còn dùng hai trình obfuscator Java là Stringer và Allatori. Bên cạnh đó, một lớp có tên FilePumper thêm dữ liệu ngẫu nhiên vào chính file JAR trong lúc cài đặt, làm tăng kích thước và tạo ra MD5 khác nhau trên từng máy nhiễm. Cơ chế này khiến phát hiện dựa trên hash gần như không hiệu quả.
Hành vi sau xâm nhập và mã hóa dữ liệu
Sau khi vượt qua kiểm tra geofencing, JanaWare chạy chuỗi lệnh PowerShell và registry để làm suy yếu phòng vệ của hệ thống trước khi mã hóa. Các hành động được ghi nhận gồm:
- Vô hiệu hóa Microsoft Defender
- Ẩn hoặc triệt tiêu cảnh báo bảo mật
- Xóa Volume Shadow Copy (VSS)
- Tắt Windows Update
- Liệt kê phần mềm antivirus đã cài để can thiệp tích hợp endpoint protection
Tiếp theo, ransomware tải và chạy module mã hóa, sử dụng AES encryption và gửi khóa mã hóa trực tiếp tới máy C2 qua Tor. Điều này làm cho việc khôi phục file nếu không có khóa gần như không khả thi.
Sau khi mã hóa hoàn tất, mã độc thả ransom note trong nhiều thư mục với tiền tố tên file “ONEMLI NOT”, nghĩa là “Important Note”. Nội dung ghi chú sử dụng tiếng Thổ Nhĩ Kỳ, phù hợp với chiến dịch nhắm mục tiêu theo vùng.
Đặc điểm vận hành và kênh liên lạc
JanaWare liên lạc với hạ tầng điều khiển gần như độc quyền qua Tor network trong giai đoạn mã hóa. Toàn bộ lưu lượng C2 được định tuyến qua hạ tầng ẩn danh, làm tăng độ khó trong truy vết và thu thập chỉ dấu.
Nạn nhân được yêu cầu liên hệ qua qTox hoặc qua website .onion truy cập bằng Tor Browser. Các kênh này được chọn để tránh giám sát thông thường và giảm hiệu quả của biện pháp gỡ bỏ hạ tầng.
Mức đòi tiền chuộc được ghi nhận trong các mẫu phân tích chỉ từ 200 đến 400 USD. Mức thấp này cho thấy mô hình ưu tiên số lượng nạn nhân hơn là đòi tiền lớn trên từng ca.
IOC và dấu hiệu xâm nhập
- Domain C2:
elementsplugin.duckdns.org - IP:
151.243.109.115 - Ports:
49152,49153 - Filename prefix của ransom note:
ONEMLI NOT - Kênh liên lạc:
Tor,qTox,.onion
Biện pháp giảm thiểu rủi ro bảo mật
Để giảm rủi ro bảo mật từ chiến dịch này, các endpoint không cần thiết nên hạn chế hoặc vô hiệu hóa Java Runtime Environment (JRE), đồng thời chặn thực thi file JAR từ nguồn không tin cậy. Đây là bước kiểm soát trực tiếp vào vector lây nhiễm ban đầu của mã độc ransomware.
Hệ thống email security cần được cấu hình để gắn cờ hoặc cách ly thư chứa liên kết Google Drive đi kèm loại tệp có thể thực thi. Cách này giúp giảm khả năng người dùng vô tình tải và chạy JAR độc hại.
Giám sát mạng nên phát hiện kết nối đi ra tới hạ tầng C2 đã biết, đặc biệt là elementsplugin.duckdns.org và IP 151.243.109.115 trên các cổng 49152 và 49153. Tham khảo thêm khuyến nghị giám sát mạng tại CISA Network Monitoring Guidance.
Cuối cùng, sao lưu ngoại tuyến vẫn là biện pháp quan trọng nhất để giảm tác động của mã độc ransomware. Khi xảy ra sự cố, cần bảo toàn bằng chứng pháp y và ghi nhận toàn bộ IOC trước khi xem xét bất kỳ quyết định nào liên quan đến khôi phục dữ liệu.
