WantToCry: o ransomware que criptografa arquivos sem instalar malware na máquina
O ransomware WantToCry está chamando a atenção de analistas de segurança por adotar uma tática incomum: ele consegue criptografar arquivos em servidores e estações de trabalho sem executar código malicioso localmente no sistema da vítima. Em vez de instalar um malware tradicional, os operadores abusam do protocolo Server Message Block (SMB) exposto na internet, com autenticação fraca, para copiar arquivos para a sua própria infraestrutura criminosa, criptografá‑los à distância e devolvê‑los já embaralhados para o host comprometido.
Esse modelo reduz consideravelmente as chances de detecção por soluções clássicas de segurança, já que não há binários suspeitos sendo gravados em disco e nem processos estranhos rodando na máquina. Do ponto de vista do sistema operacional, tudo o que se vê são operações legítimas de leitura e escrita via SMB realizadas por um usuário autenticado.
Como o WantToCry encontra as vítimas
De acordo com a Sophos Counter Threat Unit, os criminosos por trás do WantToCry fazem um mapeamento massivo da internet em busca de portas SMB expostas – principalmente as TCP 139 e 445. É provável que eles utilizem ferramentas e serviços de varredura amplamente usados por administradores, só que para fins maliciosos, para montar listas de alvos com servidores acessíveis a partir da internet.
Um retrato desse cenário: em 7 de janeiro de 2026, foram identificados mais de 1,5 milhão de dispositivos com as portas 139 e 445 abertas para a internet. Cada um desses sistemas potencialmente representa uma porta de entrada, sobretudo quando a exposição é combinada com senhas fracas ou políticas de autenticação negligentes.
Depois de localizar os hosts vulneráveis, os operadores do WantToCry disparam ataques automatizados de força bruta contra os serviços SMB. O objetivo é simples: testar combinações de usuário e senha até encontrar credenciais válidas, muitas vezes explorando contas com senhas triviais ou padrões fáceis de adivinhar. Uma vez obtido o acesso, eles passam a usar sessões SMB autenticadas para interagir com os arquivos da vítima.
Exfiltração e criptografia remota
O comportamento do ataque difere de campanhas tradicionais de ransomware em um ponto-chave: a criptografia não acontece no próprio servidor invadido. Assim que conseguem credenciais, os criminosos iniciam a exfiltração de arquivos por meio das sessões SMB. Eles copiam os dados das pastas acessíveis para máquinas controladas por eles, em infraestrutura distribuída ao redor do mundo.
Nesses servidores sob controle dos atacantes é que os arquivos são efetivamente criptografados. Só depois de finalizado esse processo é que o conteúdo é enviado de volta, ainda pelas mesmas sessões SMB, sobrescrevendo os arquivos originais no sistema da vítima. Aos olhos de um administrador desatento, isso pode parecer apenas uma grande movimentação de leitura e escrita via rede, mas o resultado é devastador: todos os dados agora estão inacessíveis sem a chave de descriptografia.
Para completar o ataque, o WantToCry deixa um rastro bem claro de que houve comprometimento: todos os arquivos afetados recebem o sufixo “.want_to_cry” e notas de resgate são gravadas com o nome “!Want_To_Cry.txt” em diretórios do sistema.
Notas de resgate e valores cobrados
As notas de resgate analisadas pelos pesquisadores apresentam dois modelos principais. Em um deles, os criminosos orientam a vítima a entrar em contato por meio de um mensageiro descentralizado, e em outro fornecem um canal em aplicativo de mensagens amplamente utilizado. O objetivo é estabelecer comunicação direta para negociar o pagamento e o envio da chave de descriptografia.
Nos incidentes investigados em profundidade, o valor padrão exigido foi de 600 dólares para a liberação das chaves. Porém, há evidências de que essa quantia varia conforme o alvo, a criticidade do ambiente comprometido e, possivelmente, o poder econômico presumido da organização. Em notas tornadas públicas, as exigências iam de 400 a 1.800 dólares. Embora, à primeira vista, esses montantes possam parecer inferiores aos resgates milionários de grandes famílias de ransomware, o modelo de operação em larga escala e com baixa chance de detecção pode tornar o ataque financeiramente atrativo para os criminosos.
Infraestrutura distribuída do WantToCry
A análise de telemetria permitiu mapear parte da infraestrutura empregada pelos operadores do WantToCry. O tráfego inicial de reconhecimento e as tentativas de força bruta partiram de um endereço IP vinculado a um provedor de hospedagem na Rússia (87.225.105.217). Já a etapa de criptografia foi executada a partir de um conjunto distinto de sistemas, distribuídos em diferentes países.
Cinco endereços IP foram destacados, com geolocalização associada à Alemanha, Rússia, Estados Unidos e Singapura. Essa distribuição geográfica tem duas vantagens para os atacantes: aumenta a resiliência da operação, já que não depende de um único servidor central, e dificulta a atribuição e o bloqueio coordenado por provedores e autoridades.
Durante a análise, também foram identificados dois nomes de computador pertencentes aos servidores usados pelos criminosos: WIN-J9D866ESIJ2, rodando Windows Server 2016, e WIN-LIVFRVQFMKO, baseado em Windows Server 2019. Este último já havia sido visto anteriormente em incidentes envolvendo famílias de ransomware muito mais conhecidas, como LockBit, Qilin e BlackCat, o que sugere possível reaproveitamento de infraestrutura ou relacionamento entre diferentes grupos criminosos.
Por que soluções tradicionais têm dificuldade em detectar o WantToCry
Ferramentas clássicas de antivírus e muitas soluções de EDR foram desenhadas, historicamente, para identificar malware em disco, assinaturas conhecidas ou comportamentos suspeitos em processos locais. No entanto, no caso do WantToCry, nada disso necessariamente acontece: o “trabalho sujo” de criptografar os arquivos ocorre fora do ambiente da vítima.
Do ponto de vista das máquinas comprometidas, o que se vê é apenas um usuário remoto autenticado via SMB lendo e escrevendo arquivos. Não há criação de executáveis desconhecidos, não há injeção de código em processos legítimos e não há, em muitos casos, comportamentos considerados anômalos se o administrador olha somente para processos locais. Isso torna a superfície de detecção muito mais estreita.
Soluções que analisam exclusivamente o endpoint podem falhar em identificar o ataque até que seja tarde demais. Por isso, o foco da defesa precisa ir além do binário malicioso e passar a observar o padrão de acesso a arquivos e o próprio uso de protocolos como SMB, especialmente em serviços expostos à internet.
Detecção baseada em comportamento de arquivos
Apesar de fugir do “ransomware tradicional”, o WantToCry não é invisível para ferramentas que monitoram o uso incomum de arquivos. Tecnologias de proteção comportamental, como mecanismos capazes de identificar padrões de criptografia em massa, têm se mostrado eficazes mesmo quando o código malicioso não é executado localmente.
Essas soluções acompanham a sequência de alterações em arquivos e avaliam se o conteúdo está sendo substituído por blocos aparentemente aleatórios, típicos de criptografia. Quando um volume grande de arquivos começa a ser modificado dessa forma em curto espaço de tempo, o sistema pode acionar alertas, bloquear a sessão de rede que está causando as mudanças ou até reverter parte das alterações por meio de snapshots e cópias de segurança locais.
Esse tipo de proteção independe da origem da ameaça: tanto faz se quem está mexendo nos arquivos é um processo local, um script remoto ou um usuário acessando via SMB. O que importa é o efeito nos dados, e é exatamente isso que o WantToCry não consegue esconder.
Medidas de prevenção e boas práticas
Diante de um ataque que explora diretamente o SMB, endurecer a superfície de exposição desse serviço é fundamental. Algumas recomendações práticas incluem:
– Desativar o SMBv1 sempre que possível, já que essa versão é antiga, insegura e frequentemente abusada em ataques.
– Eliminar acessos anônimos ou contas do tipo “guest” em servidores de arquivos, exigindo autenticação forte para qualquer tipo de conexão.
– Configurar firewalls perimetrais para bloquear tráfego SMB de entrada a partir da internet. Em geral, não há motivo legítimo para que portas 139 e 445 estejam abertas para o mundo externo.
– Adotar autenticação multifator para contas administrativas e de serviço que tenham acesso a compartilhamentos críticos.
– Revisar periodicamente permissões de compartilhamento, evitando que contas de baixo privilégio tenham acesso amplo a diretórios sensíveis.
Além disso, é crucial que a equipe de TI tenha visibilidade sobre quais servidores estão expostos e com quais portas abertas. Inventário de ativos e varreduras de rede internas ajudam a identificar rapidamente máquinas que não deveriam estar acessíveis externamente, reduzindo a superfície de ataque disponível para grupos como o WantToCry.
Backups: última linha de defesa (que não pode ficar acessível via SMB)
Outra lição importante do caso WantToCry é o papel dos backups na resposta a incidentes de ransomware. Mesmo com defesas maduras, nenhum ambiente está 100% imune. Quando a criptografia acontece, a capacidade de restaurar dados rapidamente pode ser a diferença entre a continuidade operacional e uma longa paralisação.
No entanto, backups mal planejados também podem ser atingidos pelo ataque. Se cópias de segurança estiverem armazenadas em servidores acessíveis via SMB com as mesmas credenciais comprometidas, nada impede que os criminosos apaguem ou criptografem também essas cópias, inviabilizando a recuperação.
Por isso, é recomendável:
– Manter pelo menos uma cópia de backup offline ou em mídias que não fiquem permanentemente conectadas à rede.
– Utilizar soluções de backup com controle de acesso separado, contas e credenciais distintas do ambiente de produção.
– Implementar retenção imutável em repositórios de backup, quando disponível, impedindo a alteração de versões anteriores dos arquivos durante um determinado período.
– Testar regularmente os procedimentos de restauração para garantir que os dados possam ser recuperados com rapidez e integridade.
O papel da visibilidade de rede e do SOC
A sofisticação de ataques como o WantToCry também evidencia a importância de uma visão mais ampla da segurança, que vá além do endpoint. Monitorar o tráfego de rede, especialmente em protocolos sensíveis como SMB, é essencial para enxergar movimentações anômalas: picos inesperados de transferência de arquivos, volumes altos de leitura e escrita em horários incomuns ou a partir de endereços IP externos suspeitos.
Centros de Operações de Segurança (SOC) que seguem boas práticas e padrões internacionais conseguem correlacionar esse tipo de evento com outros sinais, como tentativas de autenticação fracassadas em série (indicativas de força bruta), conexões provenientes de países incomuns para o negócio ou acessos realizados com contas que, em teoria, não deveriam se conectar diretamente pela internet.
Uma postura de monitoramento contínuo, respaldada por processos bem definidos de resposta a incidentes, reduz significativamente o tempo entre o início do ataque e a sua detecção, o que, em casos de ransomware, pode impedir a criptografia completa do ambiente.
Ransomware “sem malware local”: tendência ou exceção?
A estratégia do WantToCry mostra como o ecossistema de cibercrime está em constante evolução. Ao perceber que muitas empresas melhoraram sua capacidade de bloquear binários maliciosos e detectar comportamentos anômalos em máquinas locais, grupos de ransomware buscam rotas alternativas, explorando cada vez mais falhas de configuração, serviços expostos e abuso de credenciais válidas.
Ataques que se apoiam em ferramentas legítimas (o chamado “living off the land”) e em protocolos amplamente utilizados, como SMB, tendem a se tornar mais frequentes. Isso exige das organizações uma mudança de mentalidade: não basta procurar apenas “vírus” ou arquivos suspeitos; é preciso monitorar o uso que está sendo feito de recursos legítimos dentro da rede.
Neste contexto, fortalecer a gestão de identidades, reduzir a exposição de serviços, segmentar a rede e investir em detecção baseada em comportamento deixam de ser opções e passam a ser requisitos para manter a operação segura.
Conclusão
O WantToCry ilustra uma nova geração de ataques de ransomware que consegue causar danos severos sem a presença de malware tradicional no ambiente da vítima. Explorando SMB exposto com autenticação fraca, os atacantes exfiltram e criptografam arquivos remotamente, minimizando a chance de serem detectados por defesas focadas apenas em binários e processos locais.
Enfrentar essa ameaça exige uma combinação de medidas: endurecimento de serviços como o SMB, autenticação forte, bloqueio de portas críticas na borda, monitoramento de comportamento de arquivos, proteção de backups e visibilidade profunda do tráfego de rede. Organizações que anteciparem essa mudança de cenário e ajustarem sua estratégia de defesa estarão mais preparadas não só para o WantToCry, mas para todo um conjunto de ataques que exploram precisamente as brechas entre o mundo “tradicional” do antivírus e a realidade atual das ameaças digitais.