Разработка системы технической целостности оборудования для нефтегазовой компании
Эксперт компании «Газинформсервис» предложила инструмент, оценивающий безопасность ИИ
Обзор обновленной версии платформы автоматизации ИТ-операций Astra Automation 2.0
Ноутбук Rikor Pro 5: надежное и мощное устройство для офиса, дома и поездок
Как платформа для тестирования Fplus «Спутник» помогает развивать экосистему отечественных ИТ-решений
ЦБ
°
среда, 15 апреля 2026
Добавить компанию

Эксперт Сергей Полунин: региональные вымогатели остаются в тени дольше глобальных

15.04.2026
Эксперт Сергей Полунин: региональные вымогатели остаются в тени дольше глобальных
Изображение: Газинформсервис
Специалисты по кибербезопасности зафиксировали очередную волну атак вымогателя JanaWare, нацеленных исключительно на турецких пользователей. Кампания, описанная в том числе в мировых СМИ, использует классическую фишинговую схему с доставкой через Google Drive и проверкой региональной принадлежности жертвы. Как отмечает эксперт компании «Газинформсервис», такой локальный подход позволяет злоумышленникам действовать дольше, оставаясь вне радаров глобального ИБ-сообщества.

Жертва получает письмо на турецком языке с фишинговой ссылкой, ведущей в легальное облачное хранилище. Оттуда скачивается заражённый Java-архив, который либо шифрует данные, либо эксфильтрирует их на внешний сервер. Вредонос проверяет язык системы, IP и региональные настройки — если жертва находится не в Турции, атака прекращается. Требование выкупа также написано по-турецки. Глобальные фишинговые рассылки быстро становятся известными мировым SOC и антивирусным вендорам. Локальные же, как JanaWare, могут оставаться незамеченными неделями и месяцами, поражая узкую, но реальную аудиторию. После обнаружения сигнатуры были обновлены, однако ущерб уже нанесён.

Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин отметил:

«Старый добрый фишинг никогда не выйдет из моды, судя по всему. Вымогатель JanaWare работает по проверенной классической схеме: человек получает письмо с фишинговой ссылкой, которая ведет на хранилище в Google Drive, оттуда человек скачивает зараженный файл, который либо шифрует данные, либо передает их на сторонний сервер, а дальше — требование выкупа. Схема, проверенная годами, работает безотказно. В данном случае интересен такой момент, что вся схема была заточена именно на турецких пользователей. Само письмо было написано на турецком, а вредонос проверял специфические региональные критерии, чтобы убедиться что жертва находится в Турции. Конечно, глобальные фишинговые кампании приносят больше пользы, но с другой стороны, маленькие локальные кампании не так быстро становятся известны глобальному сообществу специалистов по кибербезопасности по всему миру и поэтому могут осуществляться куда дольше». 

Эксперт добавил, что после обнаружения локальные, а затем и глобальные SOC по всему миру обновили сигнатуры и стали успешно детектировать эту атаку. Однако если бы компания, которая стала жертвой мошенников, уже была бы подключена к любому локальному SOC, например к GSOC, то само получение нестандартных писем с ссылками привлекло бы внимание специалистов центра и печальных последствий можно было бы избежать с очень большой вероятностью.

Тематики: Безопасность

Ключевые слова: информационная безопасность, Газинформсервис

Свежее по теме

Эксперты фиксируют снижение утечек данных из-за блокировок в Telegram
15.04.2026
Эксперты фиксируют снижение утечек данных из-за блокировок в Telegram
15.04.2026
Активный рост цифровой трансформации демонстрируют лишь 11% компаний в РФ
14.04.2026
Хакеры используют GitHub для кражи данных