Uma nova variante de ransomware chamada WantToCry tem sido identificada por analistas de segurança, apresentando uma abordagem distinta em relação às campanhas tradicionais de criptografia de dados. Diferente de ameaças anteriores que dependem da instalação de malware local, o WantToCry opera explorando o protocolo Server Message Block (SMB) para acessar e criptografar arquivos de forma remota, sem deixar vestígios de execução de código malicioso no sistema da vítima.
Descoberta e escopo da campanha
A campanha foi investigada em detalhe por analistas do SophosLabs, que identificaram um padrão de ataque focado em organizações que mantêm serviços de compartilhamento de arquivos expostos à internet. O nome da ameaça é uma referência ao WannaCry, o worm devastador de 2017, mas os analistas confirmam que não há conexão operacional entre as duas operações. O foco do WantToCry é a exploração de portas SMB abertas, especificamente os TCP 139 e 445, que permanecem acessíveis em milhões de dispositivos globalmente.
Os atacantes utilizam ferramentas de varredura como Shodan e Censys para identificar alvos vulneráveis, uma técnica comum entre equipes de segurança legítimas, mas aqui empregada para fins maliciosos. A escala de exposição é significativa, com relatórios indicando que, até janeiro de 2026, mais de 1,5 milhão de dispositivos tinham portas SMB expostas, criando um vasto campo de ação para os criminosos.
Vetor de ataque e exploração
O mecanismo de ataque do WantToCry difere radicalmente dos ransomwares convencionais. Em vez de distribuir um payload executável que roda no endpoint da vítima, os criminosos focam no acesso remoto via credenciais. Após identificar um alvo com portas SMB abertas, os atacantes lançam ataques de força bruta automatizados contra o serviço SMB para quebrar senhas fracas ou já vazadas.
Uma vez obtido o acesso, o processo de criptografia ocorre inteiramente fora da rede da vítima. Os arquivos são exfiltrados através da sessão SMB autenticada para uma infraestrutura controlada pelos atacantes, onde são criptografados e, em seguida, reenviados para os locais originais. Isso significa que não há instalação de software suspeito no sistema da vítima, o que torna a detecção por ferramentas tradicionais de endpoint extremamente difícil.
Desafios de detecção e resposta
A natureza "sem malware" do ataque representa um desafio significativo para as equipes de segurança. Ferramentas de detecção baseadas em assinaturas ou comportamento de processos locais podem não identificar a atividade, pois não há execução de código malicioso no endpoint. As operações de SMB são tratadas como comportamento normal do sistema, permitindo que o ataque se misture ao tráfego de rede cotidiano.
Para mitigar esse risco, as organizações devem implementar ferramentas de monitoramento de conteúdo de arquivos que detectem criptografia independentemente da origem. O monitoramento de rede também é crucial, pois as operações do WantToCry geram artefatos observáveis, como atividade sustentada de leitura e escrita SMB de endereços IP externos em volumes incomuns ou fora do horário comercial.
Medidas de mitigação recomendadas
As recomendações de segurança para proteger contra o WantToCry são diretas e focadas na redução da superfície de ataque. As organizações devem desabilitar o protocolo SMBv1, que é obsoleto e inseguro, e bloquear o tráfego SMB de entrada nas portas TCP 139 e 445 em firewalls voltados para a internet. Além disso, o acesso SMB anônimo ou de convidado deve ser removido completamente.
É igualmente importante garantir que os backups não possam ser alcançados via protocolos SMB, evitando que sejam criptografados junto com os dados primários. Ferramentas de detecção e resposta estendidas (XDR) capazes de identificar atividades de reconhecimento e força bruta contra serviços SMB fornecem uma camada valiosa de alerta precoce.
Indicadores de comprometimento (IoCs)
Os analistas identificaram vários indicadores de comprometimento associados à campanha, incluindo endereços IP de infraestrutura de criptografia controlada pelos atacantes, localizados em países como Rússia, Alemanha, Estados Unidos e Cingapura. Os arquivos criptografados recebem a extensão .want_to_cry, e uma nota de resgate chamada !Want_To_Cry.txt é deixada nos diretórios afetados.
Os atacantes exigem pagamento em Bitcoin, com valores observados variando entre 400 e 1.800 dólares por vítima. Duas versões de notas de resgate foram observadas, uma solicitando contato via qTox e outra via Telegram, permitindo que as vítimas testem a descriptografia de até três arquivos antes do pagamento.
Conclusão e implicações para CISOs
O surgimento do WantToCry serve como um alerta para a necessidade de revisão das configurações de rede e políticas de acesso SMB. A capacidade de criptografar dados sem deixar malware no endpoint exige uma mudança na postura de detecção, focando mais no comportamento de rede e integridade de arquivos do que apenas na presença de processos maliciosos. A implementação de backups imutáveis e a segmentação de rede são medidas críticas para reduzir o impacto potencial de ataques desse tipo.