O ransomware WantToCry criptografa arquivos remotamente

21/05/2026 mindsecblog Notícias 0

O ransomware WantToCry criptografa arquivos remotamente

Pesquisadores da Sophos identificaram uma nova operação de ransomware chamada WantToCry, que utiliza serviços SMB expostos à internet para realizar criptografia remota de arquivos, sem necessidade de executar malware localmente. Essa abordagem reduz significativamente a capacidade de detecção por ferramentas tradicionais de segurança.

Entre os principais pontos observados pelos analistas:

  • Os invasores exploram portas SMB expostas com tentativas de força bruta e credenciais comprometidas ou fracas.
  • Tentativas de força bruta contra SMB podem funcionar como sinais iniciais de comprometimento antes da criptografia dos dados

Tentativas de força bruta contra serviços SMB podem ser sinais iniciais de um ataque

Analistas da SophosLabs investigaram ataques de ransomware WantToCry nos quais os invasores exploraram o serviço Server Message Block (SMB) para obter acesso inicial e, em seguida, exfiltraram arquivos para uma infraestrutura controlada pelos criminosos, para realizar criptografia remota. A superfície de detecção é significativamente reduzida porque o WantToCry opera sem execução local de malware, e não há atividades pós-comprometimento além da exfiltração dos arquivos e da regravação deles no disco.

O nome WantToCry parece ser uma referência ao conhecido ransomware WannaCry (também conhecido como WCry), que se propagou explorando uma vulnerabilidade no SMB no início de 2017. Embora o WantToCry não seja autorreplicante e não haja evidências de ligação entre as duas operações, organizações com serviços SMB expostos à internet enfrentam riscos semelhantes.

Ao analisar os ataques do WantToCry, os especialistas da SophosLabs determinaram como os invasores identificavam potenciais vítimas: por meio de reconhecimento, obtiveram acesso às redes explorando serviços SMB expostos com autenticação fraca e utilizaram o mesmo protocolo para exfiltrar arquivos para infraestrutura controlada pelos criminosos. Os invasores também executaram a criptografia remota, usavam novamente o SMB para regravar os arquivos criptografados no host local e entregaram uma nota de resgate exigindo pagamento. Os analistas ainda mapearam parte da infraestrutura utilizada nas campanhas.

Identificação de vítimas potenciais

Os operadores do WantToCry identificam potenciais vítimas escaneando a internet em busca de portas SMB abertas. Os invasores provavelmente utilizam os mesmos serviços de reconhecimento empregadospor equipes legítimas de segurança. Serviços como Shodan e Censys escaneiam continuamente sistemas expostos à internet, criando bancos de dados prontamente disponíveis de serviços expostos que os invasores podem explorar para seleção de alvos. Em 7 de janeiro de 2026, o Shodan identificou mais de 1,5 milhão de dispositivos com portas utilizadas pelo SMB (TCP 139 e 445) expostas à internet (ver Figura 1).

Figura 1: Dez principais localizações de dispositivos expondo portas SMB (Fonte: shodan.io)

Acesso e criptografia

Os operadores do WantToCry então tentam obter acesso às redes-alvo. Nos ataques observados pelos analistas do SophosLabs, os invasores automatizaram tentativas de força bruta contra serviços SMB expostos à internet nas portas 139 e 445. Após uma autenticação bem-sucedida com credenciais comprometidas ou fracas, os invasores iniciaram a exfiltração de arquivos por meio de sessões SMB autenticadas.

O processo de criptografia era então iniciado nos arquivos exfiltrados armazenados na infraestrutura controlada pelos invasores. Em seguida, os arquivos criptografados eram regravados nos locais originais dos sistemas das vítimas por meio das mesmas sessões SMB autenticadas. O WantToCry deixa notas de resgate chamadas !Want_To_Cry.txt nos sistemas afetados e adiciona o sufixo .want_to_cry aos arquivos criptografados.

Foram observados dois modelos diferentes de nota de resgate. Um convida a vítima a se comunicar com os invasores via qTox (ver Figura 2); o outro é quase idêntico, mas lista uma conta no Telegram (hxxps://t[.]me/want_to_cry_team) para comunicação. As vítimas podem supostamente utilizar esses canais para comprovar a eficácia da descriptografia em até três arquivos de teste e obter os detalhes da carteira exclusiva de Bitcoin para a qual o pagamento do resgate deve ser realizado.

Figura 2: Nota de resgate observada nos ataques do WantToCry

Em cada incidente, o invasor exigia um resgate de US$ 600 pelas chaves necessárias para descriptografar os arquivos. Em outras notas de resgate divulgadas publicamente, os valores variavam entre US$ 400 e US$ 1.800. Esses montantes são baixos em comparação com exigências tradicionais de ransomware e refletem, provavelmente, seu escopo limitado de implantação. Não há atividade pós-invasão nos ataques do WantToCry — ou seja, não há posicionamento do ransomware para causar impacto máximo em todo o ambiente comprometido. Portanto, é provável que, em muitos casos, a criptografia ocorra apenas nos arquivos armazenados no host que expôs os serviços SMB à internet. Embora a exfiltração de dados seja uma parte crucial do processo de criptografia, não há evidências de que os dados roubados estejam sendo utilizados para extorquir vítimas em modelos de “name-and-shame” ou dupla extorsão.

Infraestrutura

Os analistas do SophosLabs observaram invasores utilizando infraestrutura separadas para as diferentes fases do ataque. As atividades de reconhecimento para identificar serviços SMB expostos e conduzir tentativas sistemáticas de autenticação contra alvos descobertos tiveram origem em um endereço IP associado a um provedor de hospedagem baseado na Rússia (87[.]225[.]105[.]217).

Uma vez obtidas credenciais válidas, um conjunto separado de sistemas controlados pelos invasores iniciou a fase de criptografia. Esses sistemas estabeleceram sessões SMB autenticadas e mantiveram operações contínuas de leitura e gravação de arquivos. A análise dos ataques observados revelou cinco endereços IP geolocalizados em diferentes países:

  • 109[.]69[.]58[.]213 – Alemanha
  • 185[.]189[.]13[.]56 – Federação Russa
  • 185[.]200[.]191[.]37 – Estados Unidos
  • 194[.]36[.]179[.]18 – Singapura
  • 194[.]36[.]179[.]30 – Singapura

Dois nomes diferentes de computadores foram utilizados nos ataques: WIN-J9D866ESIJ2 (um dispositivo Windows Server 2016) e WIN-LIVFRVQFMKO (um dispositivo Windows Server 2019). Uma detecção do Sophos CryptoGuard de 6 de janeiro de 2026 mostrou que um endereço IP associado ao host WIN-J9D866ESIJ2 gravou uma nota de resgate do WantToCry em múltiplos diretórios (ver Figura 3).

Figura 3: Detecção do CryptoGuard para um incidente do WantToCry envolvendo um dispositivo do invasor chamado WIN-J9D866ESIJ2

Pesquisadores terceirizados observaram o nome de computador WIN-J9D866ESIJ2 em ataques envolvendo a implantação do NetSupport RAT. O WIN-LIVFRVQFMKO já havia sido observado tanto pela Sophos quanto por outros pesquisadores em diversas atividades maliciosas, incluindo ataques envolvendo os ransomwares LockBitQilin e BlackCat(também conhecido como ALPHV). No entanto, o mesmo nome de computador não significa que o mesmo dispositivo tenha sido utilizado ou que o mesmo invasor seja responsável. Ambos os nomes de computador são atribuídos como máquinas virtuais pela ISPsystem, fornecedora legítima de plataformas de gerenciamento de infraestrutura de TI, e podem aparecer em atividades não maliciosas. Ainda assim, máquinas virtuais geradas por fornecedores legítimos podem ser reaproveitadas por provedores de hospedagem “bulletproof” e alugadas para diversos grupos de ameaça. Pesquisadores da Counter Threat Unit™ (CTU) detalharam o abuso dessas máquinas virtuais.

Desafios de detecção

As soluções de endpoint detection and response (EDR) e antivírus enfrentam desafios ao lidar com a metodologia utilizada nos ataques do WantToCry. Esses sistemas dependem normalmente de indicadores com base em processos, análise comportamental de aplicações em execução e identificação de assinaturas conhecidas de malware. Como o WantToCry opera sem execução local de código, não existem processos suspeitos associados para análise nem arquivos maliciosos para identificação. Além disso, ferramentas de segurança geralmente classificam operações de arquivos conduzidas via protocolo SMB como comportamento normal do sistema, em vez de potencial atividade maliciosa. Entretanto, ferramentas que monitoram alterações no conteúdo de arquivos, como o Sophos CryptoGuard, conseguem detectar atividades de criptografia independentemente da origem, em vez de tentar identificar processos maliciosos ou padrões comportamentais.

Apesar da superfície reduzida de detecção, as operações do WantToCry geram artefatos observáveis de rede e autenticação. O monitoramento de rede pode identificar operações sustentadas de leitura e gravação SMB originadas a partir de endereços IP externos, especialmente quando envolvem volumes incomuns de acesso a arquivos ou ocorrem fora dos padrões normais de negócios.

Conclusão

Como ocorre em qualquer operação de ransomware, a prevenção continua sendo essencial para mitigar ameaças de criptografia remota como o WantToCry. Entre as medidas preventivas estão a desativação do protocolo SMBv1 em toda a organização, a remoção de acessos SMB anônimos ou do tipo “guest” e o bloqueio de tráfego SMB de entrada (portas TCP/139 e TCP/445) em todos os firewalls expostos à internet. Além disso, é importante garantir que os backups não possam ser acessados por meio de protocolos SMB.

As organizações também devem implementar controles a nível de rede e monitoramento de conteúdo de arquivos para lidar de forma eficaz com esse método de ataque. Ferramentas como o Sophos CryptoGuard conseguem identificar, bloquear e reverter atividades de criptografia realizadas via protocolos SMB.

O WantToCry depende de autenticação fraca e da exposição de serviços à internet, e não da exploração de vulnerabilidades de software ou de mecanismos tradicionais de entrega de malware. Soluções de Detecção e Resposta Estendida (XDR) podem identificar atividades de reconhecimento e tentativas de força bruta contra serviços SMB, fornecendo alertas antecipados sobre possíveis operações do WantToCry.

Por: Equipe de Pesquisa da Sophos Counter Threat Unit

 

Clique e fale com representante oficial segura

 

Veja também:

About mindsecblog 3569 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

Notícias

FBI alerta sobre candidatos fake a vagas para trabalho remoto

07/07/2022 mindsecblog Notícias 0

FBI alerta sobre candidatos fake a vagas para trabalho remoto. Deepfakes e PII roubados utilizados para se candidatar a cargos remotos. O FBI está alertando os empregadores sobre candidatos a trabalho remoto usando PII roubados […]

Artigos

A higiene de sua senha continua atroz

22/11/2023 mindsecblog Artigos, Notícias 3

A higiene de sua senha continua atroz, diz NordPass,que lançou sua lista anual das senhas mais comuns. E embora pareça que alguns de vocês levaram a sério a repreensão do ano passado, a maioria de […]

Notícias

Fraudes com deepfake crescem 700%

29/07/2025 mindsecblog Notícias 0

Fraudes com deepfake crescem 700%; incidentes no Brasil são cinco vezes mais frequentes do que nos EUA Dados da Sumsub apontam que criminosos estão abandonando fraudes “tradicionais”, como a reimpressão de documentos e edição no […]

Be the first to comment

Deixe sua opinião!