WantToCry: o ransomware que criptografa seus arquivos sem instalar malware na máquina
O ransomware WantToCry inaugura uma tática particularmente perigosa: ele consegue criptografar arquivos em servidores e estações expostas sem nunca executar código malicioso diretamente no sistema da vítima. Em vez de instalar um executável, o grupo criminoso abusa do próprio protocolo SMB para copiar os arquivos para sua própria infraestrutura, cifrá-los à distância e devolvê-los já criptografados, tudo por meio de sessões autenticadas.
Esse modelo reduz drasticamente as chances de detecção por soluções tradicionais de antivírus e EDR, que geralmente se apoiam em comportamento de processos locais, análise de binários suspeitos e monitoramento de execução de malware. No caso do WantToCry, o “cérebro” do ataque roda em servidores controlados pelos atacantes, enquanto a máquina da vítima aparece apenas como um repositório de arquivos acessado remotamente.
Como o WantToCry encontra vítimas
De acordo com análises da SophosLabs e da Sophos Counter Threat Unit, os operadores do WantToCry têm uma rotina clara de caça a alvos. Eles realizam varreduras massivas em busca de portas SMB abertas na internet – principalmente as portas TCP 139 e 445. Essas buscas podem ser facilitadas por serviços de indexação de dispositivos expostos, como scanners públicos de internet, que permitem filtrar rapidamente máquinas com SMB acessível externamente.
Em apenas um dia específico, em 7 de janeiro de 2026, foram identificados mais de 1,5 milhão de dispositivos com essas portas expostas, um universo enorme de potenciais vítimas. Isso demonstra como ainda é comum encontrar servidores, storages e até estações de trabalho com SMB diretamente acessível pela internet, muitas vezes sem qualquer necessidade operacional para isso.
A etapa de força bruta e invasão via SMB
Depois de identificar sistemas com SMB exposto, os operadores do WantToCry partem para a próxima etapa: ataques de força bruta e tentativa de uso de credenciais fracas ou reaproveitadas. Esses ataques automatizados testam combinações de usuário e senha em alta velocidade até encontrarem um par válido. Em ambientes onde ainda existem contas “guest”, usuários sem senha forte ou credenciais padrão de fábrica, a probabilidade de sucesso sobe bastante.
Uma vez que o agressor obtém acesso a uma sessão SMB autenticada, ele não precisa explorar falhas complexas de software. O próprio protocolo legítimo de compartilhamento de arquivos se torna o caminho para exfiltrar dados e, em seguida, para gravar os arquivos cifrados de volta no sistema vítima. Em muitos casos, essa movimentação ocorre durante janelas de baixa atividade, como de madrugada ou fins de semana, dificultando ainda mais a percepção do ataque por equipes de TI sobrecarregadas ou ausentes.
Criptografia remota: o “truque” que contorna a detecção
A particularidade do WantToCry está justamente em onde ocorre a criptografia. Em vez de rodar um executável na máquina comprometida para cifrar os arquivos localmente, os criminosos copiam os documentos por meio da sessão SMB autenticada para servidores controlados por eles. Lá, em um ambiente sob total domínio do grupo, os arquivos são processados e criptografados.
Depois disso, os arquivos já cifrados são enviados de volta para os mesmos diretórios originais, por meio da mesma conexão SMB, substituindo as versões limpas. Para o sistema operacional da vítima, tudo se parece com atividades legítimas de rede: leitura e escrita de arquivos por um usuário autenticado. Não há processo suspeito novo sendo iniciado na máquina, não há binário desconhecido para o antivírus examinar.
Essa abordagem reduz de forma significativa a superfície de detecção baseada em comportamento local. Muitos agentes de segurança que dependem de análise de processos, verificação de hashes de executáveis ou bloqueio de downloads maliciosos simplesmente não veem nada anormal, porque o código malicioso nunca chega a ser executado no endpoint.
Marcas do ataque: extensão .want_to_cry e notas de resgate
Embora o processo de criptografia ocorra remotamente, o impacto para a vítima é o mesmo de um ataque de ransomware tradicional. Após a substituição dos arquivos, o WantToCry adiciona o sufixo `.want_to_cry` aos nomes dos documentos bloqueados, tornando imediatamente visível que houve um ataque.
Além disso, o grupo deixa instruções para pagamento de resgate em arquivos de texto nomeados `!Want_To_Cry.txt`. Foram observadas, pelo menos, duas variantes dessas notas:
– Uma que orienta a vítima a entrar em contato com os criminosos por meio do mensageiro qTox.
– Outra que direciona a comunicação para um canal em uma plataforma de mensagens amplamente usada para coordenação de grupos.
Nos incidentes analisados, o valor do resgate girava em torno de 600 dólares para fornecimento das chaves de descriptografia necessárias. Em outros casos públicos atribuídos ao mesmo grupo, os pedidos variaram entre 400 e 1.800 dólares, o que sugere uma tentativa de se manter em uma faixa “pagável” para pequenas e médias empresas, que muitas vezes não dispõem de planos robustos de recuperação de desastres.
Infraestrutura criminosa distribuída
A investigação técnico-forense identificou uma infraestrutura relativamente distribuída, demonstrando que o WantToCry não depende de um único servidor ou região. Atividades de reconhecimento e força bruta foram rastreadas até um endereço IP associado a um provedor de hospedagem na Rússia (87.225.105.217).
Porém, o processo de criptografia em si foi realizado por um conjunto separado de máquinas, espalhadas em pelo menos cinco endereços IP geolocalizados em países distintos, incluindo Alemanha, Rússia, Estados Unidos e Singapura. Essa distribuição geográfica dificulta a interrupção coordenada da operação, já que envolve provedores, legislações e jurisdições diferentes.
Dois nomes de computadores se destacaram na análise:
– WIN-J9D866ESIJ2, associado a um Windows Server 2016;
– WIN-LIVFRVQFMKO, rodando Windows Server 2019.
Esse último hostname já apareceu previamente em incidentes relacionados a outros ransomwares conhecidos, como LockBit, Qilin e BlackCat, sugerindo possível reaproveitamento de infraestrutura ou mesmo atuação de grupos com relações entre si.
Por que EDR e antivírus tradicionais falham nesse cenário
Ferramentas clássicas de proteção de endpoint foram desenvolvidas, em grande parte, para detectar três frentes principais: arquivos maliciosos, atividades suspeitas de processos e comportamentos anômalos de aplicativos locais. Quando o atacante não instala nada no sistema e apenas se conecta de fora, usando credenciais válidas, boa parte desses mecanismos perde a eficácia.
No caso do WantToCry, o tráfego pode parecer, à primeira vista, apenas um usuário remoto acessando compartilhamentos de arquivos. As ações de leitura e escrita são legítimas do ponto de vista do protocolo SMB. Sem uma camada adicional de análise de anomalias e de contexto – como volume de arquivos modificados em curto intervalo de tempo ou padrão de renomeação em massa – muitas soluções simplesmente não identificam o ataque a tempo.
A importância de monitorar o conteúdo, não só o executável
Algumas tecnologias mais avançadas de proteção, no entanto, conseguem enxergar o impacto final da criptografia, mesmo sem ver o malware em si. Um exemplo é a abordagem adotada por mecanismos que monitoram alterações no conteúdo dos arquivos, detectando padrões típicos de ransomware – como campanhas que criptografam rapidamente grandes quantidades de dados em diretórios específicos.
Ferramentas com esse tipo de recurso conseguem disparar alertas ou bloquear a atividade independentemente da origem do processo, seja ele local ou remoto. Em vez de se apoiar apenas na identificação de um executável malicioso, essas soluções analisam o que está acontecendo com os arquivos: se estão sendo sobrescritos, renomeados em massa, se surgem extensões incomuns, entre outros sinais característicos.
Medidas práticas de prevenção e endurecimento de ambiente
Proteger-se contra o WantToCry e outros ataques que abusam do SMB exige uma combinação de boas práticas de configuração, redução de superfícies de ataque e políticas de backup robustas. Algumas recomendações fundamentais incluem:
1. Desativar o SMBv1
Versões antigas do protocolo SMB, como o SMBv1, são conhecidas por falhas de segurança e já foram exploradas por diversos ataques de grande escala. Se ainda estiver ativo por compatibilidade com sistemas legados, é hora de revisar essa necessidade e planejar a migração.
2. Eliminar acessos anônimos ou de convidado
Contas “guest”, acessos sem senha ou com credenciais compartilhadas entre muitos usuários abrem caminho para ataques de força bruta e abuso por parte de invasores. Cada serviço SMB deve estar vinculado a contas autenticadas e com senhas fortes, idealmente integradas a diretórios corporativos com políticas de complexidade e expiração.
3. Bloquear o tráfego SMB de entrada em firewalls voltados para a internet
Em geral, não há motivo técnico legítimo para que o SMB esteja acessível diretamente a partir da internet. Compartilhamentos de arquivos devem ser restringidos à rede interna ou acessados via VPN segura, com autenticação multifator. Portas 139 e 445 expostas são um convite aberto não apenas para o WantToCry, mas para uma série de outros ataques.
4. Isolar e proteger backups
Backups devem ser armazenados em ambientes inacessíveis via SMB a partir da rede de produção – ou, no mínimo, com controles rigorosos de acesso. Cópias offline, imutáveis ou em sistemas de armazenamento projetados especificamente para resistir a ransomware são essenciais para garantir a recuperação dos dados sem pagamento de resgate.
5. Aplicar o princípio do menor privilégio
Contas usadas para acessar compartilhamentos não devem ter mais permissões do que o estritamente necessário. Se um usuário ou serviço só precisa ler arquivos, não faz sentido conceder direitos de escrita. Isso limita o estrago em caso de comprometimento de credenciais.
O papel da visibilidade de rede e da resposta rápida
Além da configuração adequada, é crucial que as organizações tenham visibilidade do que acontece em seu tráfego de rede. Soluções de monitoramento que acompanham o volume de conexões, a origem dos IPs, horários de acesso e padrões de uso do SMB podem ajudar a identificar rapidamente anomalias, como um fluxo massivo de leitura e escrita iniciado de um endereço remoto incomum.
Quando um incidente é detectado, a capacidade de resposta rápida faz a diferença entre um susto controlado e um desastre operacional. Procedimentos claros de isolamento de máquinas, desativação temporária de serviços, revogação de credenciais comprometidas e restauração a partir de backups podem reduzir o impacto de forma significativa.
Ransomware como serviço e a “pandemia” da fraude digital
O surgimento de variantes como o WantToCry se insere em um cenário mais amplo de profissionalização do cibercrime. Modelos de “ransomware como serviço” permitem que grupos com competências diferentes compartilhem infraestrutura, know-how e recursos. Desenvolvedores constroem ferramentas sofisticadas, enquanto afiliados cuidam da invasão e negociação com as vítimas.
Esse ecossistema fomentou uma verdadeira “pandemia” de fraudes digitais e ataques de extorsão. Empresas de todos os tamanhos, órgãos públicos e até profissionais liberais se tornaram alvos. O caso do WantToCry mostra como os criminosos estão constantemente ajustando suas táticas para contornar mecanismos de defesa e explorar brechas de configuração, não apenas vulnerabilidades de software.
Por que a maturidade em segurança importa
Diante desse cenário, investir apenas em ferramentas pontuais não é suficiente. Organizações precisam evoluir sua maturidade em segurança como um todo: políticas, processos, treinamento de usuários, gestão de identidade, segmentação de redes e governança de dados. Certificações e padrões internacionais de segurança da informação, como a ISO 27001, ajudam a estruturar essa jornada, estabelecendo controles mínimos e boas práticas.
Ter um centro de operações de segurança (SOC) bem estruturado, com monitoramento contínuo, também contribui para detectar padrões anômalos, responder incidentes e aprimorar defesas com base em lições aprendidas. O padrão de ataque do WantToCry – varredura de portas, força bruta, uso abusivo de sessões SMB – é algo que um SOC maduro consegue identificar e correlacionar mais rapidamente.
Olhando para frente: SMB como vetor preferencial
O caso do WantToCry sinaliza uma tendência importante: o uso de protocolos corporativos amplamente difundidos, como o SMB, não apenas para movimentação lateral, mas como mecanismo central do ataque. À medida que soluções de endpoint ficam mais inteligentes, é esperado que criminosos migrem ainda mais para a exploração de serviços de rede, credenciais válidas e abusos de configuração.
Por isso, endurecer a exposição de serviços como SMB, RDP e outros protocolos de administração remota não é mais uma recomendação opcional, e sim um requisito básico de sobrevivência digital. Revisar periodicamente quais portas estão abertas, quais serviços são realmente necessários e como estão protegidos é uma das tarefas mais críticas para qualquer equipe de TI e segurança.
Em resumo, o WantToCry demonstra que o conceito tradicional de “sem malware, sem problema” não se sustenta mais. Mesmo sem instalar um único executável na máquina da vítima, criminosos conseguem causar o mesmo estrago de um ransomware clássico. A defesa eficaz passa, necessariamente, por visibilidade, endurecimento de serviços expostos, controle rigoroso de credenciais e estratégias de backup sólidas, capazes de garantir que nenhum pedido de resgate seja a última palavra sobre os seus dados.