O ransomware WantToCry está sendo usado contra empresas ao abusar de serviços SMB expostos na internet para criptografar arquivos remotamente, sem instalar malware no sistema da vítima. A técnica reduz a visibilidade do ataque e dificulta a detecção por ferramentas tradicionais de segurança.
Apesar do nome semelhante ao WannaCry, que causou impactos globais em 2017, o WantToCry não se comporta como um worm e não há indicação de ligação entre as duas operações. A semelhança está no interesse por ambientes que mantêm portas SMB acessíveis externamente.
A análise da SophosLabs indica que os operadores começam varrendo a internet em busca de sistemas com as portas TCP 139 e 445 abertas. Depois, tentam obter acesso por meio de força bruta contra credenciais fracas, reutilizadas ou já comprometidas.
Após a autenticação, os invasores não executam código malicioso localmente. Eles copiam os arquivos da vítima por meio da sessão SMB para uma infraestrutura controlada pelos cibercriminosos, e realizam a criptografia fora do ambiente invadido e gravam os arquivos criptografados de volta no local original.
Os arquivos afetados recebem a extensão .want_to_cry, e uma nota chamada !Want_To_Cry.txt é deixada nos diretórios comprometidos.
A abordagem torna o ataque especialmente silencioso. Como as operações de leitura e gravação via SMB podem parecer tráfego legítimo, soluções baseadas apenas em assinaturas de malware ou processos suspeitos no endpoint tendem a ter menor eficácia nesse cenário.
