El ransomware WantToCry cifra archivos de forma remota

Los analistas de SophosLabs investigaron los ataques del ransomware WantToCry, en los que los autores de la amenaza aprovechaban SMB para obtener acceso inicial para, posteriormente, extraer archivos a una infraestructura controlada por los atacantes para cifrarlos de forma remota. La superficie de detección se reduce significativamente porque WantToCry opera sin ejecución local de malware, y no hay actividad posterior al compromiso más allá de la extracción de archivos y su reescritura en el disco.

El nombre WantToCry parece hacer referencia al famoso gusano de ransomware WannaCry (también conocido como WCry), que se propagó a través de una vulnerabilidad en SMB a principios de 2017. Aunque WantToCry no se propaga por sí mismo y no hay pruebas que sugieran que ambas operaciones estén relacionadas, las organizaciones con servicios SMB expuestos a Internet corren un riesgo similar.

Al analizar los ataques de WantToCry, los analistas de SophosLabs determinaron cómo los atacantes identificaban a las víctimas potenciales mediante reconocimiento, accedían a las redes aprovechando servicios SMB vulnerables que dependían de una autenticación débil, utilizaban el mismo protocolo para exfiltrar archivos a la infraestructura controlada por los atacantes, implementaban el cifrado remoto, volvían a utilizar SMB para reescribir los archivos cifrados en el host local y entregaban una nota de rescate exigiendo el pago. Los analistas también trazaron un mapa de parte de la infraestructura utilizada en las campañas.

Identificación de víctimas potenciales

Los operadores de WantToCry identifican a las víctimas potenciales escaneando Internet en busca de puertos SMB abiertos. Es probable que los autores de la amenaza utilicen los mismos servicios de reconocimiento que los equipos de seguridad legítimos. Servicios como Shodan y Censys escanean continuamente los sistemas conectados a Internet, creando bases de datos fácilmente accesibles de servicios expuestos que los atacantes pueden aprovechar para la selección de objetivos. A fecha de 7 de enero de 2026, Shodan identificó más de 1,5 millones de dispositivos que tenían puertos utilizados por SMB (puertos TCP 139 y 445) expuestos a Internet (véase la Figura 1).

Figura 1: las diez principales ubicaciones de dispositivos que exponen puertos SMB (Fuente: shodan.io)

Acceso y cifrado

A continuación, los operadores de WantToCry intentan acceder a las redes de los objetivos. En los ataques observados por los analistas de SophosLabs, los autores de la amenaza automatizaron intentos de fuerza bruta dirigidos a servicios SMB expuestos a Internet en los puertos 139 y 445. Tras autenticarse con éxito utilizando credenciales comprometidas o débiles, los atacantes iniciaron la exfiltración de archivos a través de sesiones SMB autenticadas.

El proceso de cifrado posterior se inició en los archivos exfiltrados almacenados en la infraestructura controlada por los atacantes. A continuación, los archivos cifrados se escribían en las ubicaciones originales de los sistemas de las víctimas a través de las mismas sesiones SMB autenticadas. WantToCry deja notas de rescate denominadas !Want_To_Cry.txt en los sistemas afectados y añade la extensión .want_to_cry a los archivos cifrados.

Se observaron dos plantillas diferentes de notas de rescate. Una invita a la víctima a comunicarse con los autores de la amenaza a través de qTox (véase la Figura 2); la otra es casi idéntica, pero incluye una cuenta de Telegram (hxxps://t[.]me/want_to_cry_team) para la comunicación. Al parecer, las víctimas pueden utilizar estos canales para comprobar la eficacia del descifrado en hasta tres archivos de prueba y para obtener los datos de la cartera de Bitcoin única a la que debe realizarse el pago del rescate.

Figura 2: nota de rescate de los ataques de WantToCry

En cada incidente, el atacante exigió un rescate de 600 dólares a cambio de las claves necesarias para descifrar los archivos. En otras notas de rescate divulgadas públicamente, las exigencias oscilaron entre 400 y 1800 dólares. Estas cantidades son bajas en comparación con las exigencias de rescate tradicionales y probablemente reflejan el alcance limitado del despliegue del ransomware. No hay actividad posterior a la intrusión en los ataques de WantToCry, es decir, no se produce un posicionamiento del ransomware para lograr el máximo impacto en todo el entorno comprometido. Por lo tanto, es probable que, en muchos casos, el cifrado se produzca únicamente en los archivos almacenados en el host que expuso los servicios SMB a Internet. Aunque la exfiltración de datos es una parte crucial del proceso de cifrado, no hay pruebas de que los datos robados se utilicen para extorsionar a las víctimas mediante un modelo de «denuncia pública» o de doble extorsión.

Infraestructura

Los analistas de SophosLabs observaron que los autores de las amenazas utilizaban una infraestructura segmentada para las diferentes fases del ataque. Las actividades de reconocimiento para identificar servicios SMB expuestos y llevar a cabo intentos de autenticación sistemáticos contra los objetivos descubiertos se originaron desde una dirección IP asociada a un proveedor de alojamiento con sede en Rusia (87[.]225[.]105[.]217).

Una vez obtenidas las credenciales válidas, un conjunto independiente de sistemas controlados por los atacantes inició la fase de cifrado. Estos sistemas establecieron sesiones SMB autenticadas y realizaron operaciones continuadas de lectura y escritura de archivos. El análisis de los ataques observados reveló cinco direcciones IP geolocalizadas en diferentes países:

• 109[.]69[.]58[.]213 - Alemania
• 185[.]189[.]13[.]56 - Rusia
• 185[.]200[.]191[.]37 - Estados Unidos
• 194[.] 36[.]179[.]18 - Singapur
• 194[.]36[.]179[.]30 - Singapur

En los ataques se utilizaron dos nombres de equipo diferentes: WIN-J9D866ESIJ2 (un dispositivo Windows Server 2016) y WIN-LIVFRVQFMKO (un dispositivo Windows Server 2019). Una detección de Sophos CryptoGuard del 6 de enero de 2026 mostró que una dirección IP asociada al host WIN-J9D866ESIJ2 escribió una nota de rescate de WantToCry en varios directorios (véase la Figura 3).

Figura 3: detección de CryptoGuard de un incidente de WantToCry en el que participó un dispositivo del actor malicioso denominado WIN-J9D866ESIJ2

Investigadores externos observaron el nombre de equipo WIN-J9D866ESIJ2 en ataques que implicaban el despliegue de NetSupport RAT. WIN-LIVFRVQFMKO fue observado anteriormente tanto por Sophos como por investigadores externos en una serie de actividades maliciosas, incluidos ataques relacionados con el ransomware LockBit, Qilin y BlackCat (también conocido como ALPHV). Sin embargo, el mismo nombre de equipo no significa que se utilizara el mismo dispositivo ni que el responsable fuera el mismo actor malicioso. Ambos nombres de equipo son asignados como máquinas virtuales por ISPsystem, un proveedor legítimo de plataformas de gestión de infraestructura de TI, por lo que también aparecerán en actividades no maliciosas. No obstante, las máquinas virtuales generadas por proveedores legítimos pueden ser reutilizadas por proveedores de alojamiento «a prueba de balas» y alquiladas a diversos actores maliciosos. Los investigadores de Counter Threat Unit™ (CTU) han detallado el uso indebido de las máquinas virtuales.

Retos de detección

Las protecciones de detección y respuesta en endpoints (EDR) y las soluciones antivirus se enfrentan a retos a la hora de hacer frente a la metodología utilizada en los ataques de WantToCry. Estos sistemas suelen basarse en indicadores basados en procesos, análisis de comportamiento de las aplicaciones en ejecución e identificación de firmas de malware conocidas. Dado que WantToCry opera sin ejecución de código local, no hay procesos sospechosos asociados que analizar ni archivos maliciosos que identificar. Además, las herramientas de seguridad suelen clasificar las operaciones de archivos realizadas a través del protocolo SMB como comportamiento normal del sistema, en lugar de como actividad potencialmente amenazante. Sin embargo, las herramientas que supervisan los cambios en el contenido de los archivos, como Sophos CryptoGuard, detectan la actividad de cifrado independientemente de su origen, en lugar de intentar identificar procesos maliciosos o patrones de comportamiento.

A pesar de la superficie de detección reducida, las operaciones de WantToCry generan artefactos observables en la red y en la autenticación. La supervisión de la red puede identificar operaciones SMB de lectura y escritura sostenidas que se originan en direcciones IP externas, especialmente cuando estas operaciones implican volúmenes inusuales de acceso a archivos o se producen fuera de los patrones habituales de la actividad empresarial.

Conclusión

Al igual que con toda actividad de ransomware, la prevención sigue siendo clave para mitigar la amenaza de operaciones de ransomware remotas como WantToCry. Las medidas preventivas incluyen desactivar el protocolo SMBv1 en toda la organización, eliminar el acceso SMB «invitado» o anónimo, y bloquear el tráfico SMB entrante (puertos TCP/139 y TCP/445) en todos los firewalls expuestos a Internet. Además, es importante garantizar que no se pueda acceder a las copias de seguridad a través de protocolos SMB.

Las organizaciones también deben implementar controles a nivel de red y supervisión del contenido de los archivos para hacer frente a esta metodología de ataque de forma eficaz. Una herramienta como Sophos CryptoGuard puede identificar, bloquear y revertir la actividad de cifrado realizada a través de protocolos SMB.

WantToCry se basa en la autenticación débil y la exposición a Internet, más que en vulnerabilidades de software o mecanismos de distribución de malware. Las soluciones de detección y respuesta ampliadas (XDR) pueden identificar intentos de reconocimiento y de fuerza bruta contra los servicios SMB, proporcionando alertas tempranas de posibles operaciones de WantToCry.