- O ransomware WantToCry utiliza serviços SMB expostos na internet para criptografar arquivos remotamente, sem precisar instalar malware no sistema da vítima.
- A operação começa varrendo a internet em busca de portas TCP 139 e 445 abertas e, em seguida, tenta acesso por força bruta com credenciais fracas ou já comprometidas.
- Após a autenticação, os invasores não executam código localmente; eles copiavam arquivos via SMB para infraestrutura controlada e criptografam fora do ambiente invadido, devolvendo os arquivos criptografados ao local original.
- Os arquivos afetados recebem a extensão .want_to_cry e uma nota chamada !Want_To_Cry.txt é deixada nos diretórios comprometidos.
- A abordagem é silenciosa e dificulta a detecção por soluções baseadas apenas em assinaturas de malware ou em processos no endpoint.
O ransomware WantToCry é usado para atacar empresas ao explorar serviços SMB expostos na internet, criptografando arquivos remotamente sem instalar malware no sistema da vítima. A tática reduz a visibilidade do ataque e dificulta a detecção por ferramentas tradicionais de segurança.
Segundo a análise da SophosLabs, os operadores iniciam o ataque varrendo a web em busca de sistemas com as portas TCP 139 e 445 abertas. Em seguida, empregam força bruta contra credenciais fracas, reutilizadas ou já comprometidas.
Após a autenticação, os invasores não executam código localmente. Copiam arquivos da vítima via SMB para infraestrutura controlada e, lá, realizam a criptografia, devolvendo os arquivos já criptografados ao local original. A pasta afetada recebe a extensão .want_to_cry.
Além disso, os recursos criptografados geram uma nota chamada !Want_To_Cry.txt nos diretórios comprometidos, sinalização típica do ataque. A abordagem é considerada especialmente silenciosa, pois o tráfego SMB pode parecer legítimo a olhos de soluções que dependem apenas de assinaturas de malware.
Entre na conversa da comunidade