Aller au contenu
Démarrer
Open search

Le ransomware WantToCry chiffre les fichiers à distance

Les tentatives d'attaque par force brute contre les services SMB peuvent être des signes avant-coureurs d'une attaque.

Author - Sophos Logo

Écrit par Sophos Counter Threat Unit Research Team

Photo of crying baby
Threat ResearchRansomwareWantToCrySMB

Les analystes des SophosLabs ont étudié les attaques du ransomware WantToCry qui impliquaient que les acteurs malveillants exploitaient le service Server Message Block (SMB) pour obtenir un accès initial, puis exfiltraient des fichiers vers une infrastructure contrôlée par l'attaquant pour un chiffrement à distance. La surface de détection est considérablement réduite car WantToCry fonctionne sans exécution locale de malwares, et il n'y a aucune activité post-compromission autre que l'exfiltration de fichiers et leur réécriture sur le disque.

Le nom WantToCry semble être une référence au tristement célèbre ransomware WannaCry de type worm (également connu sous le nom de WCry), qui s'est propagé via une vulnérabilité du protocole SMB début 2017. Bien que WantToCry ne se propage pas de lui-même et qu'il n'existe aucune preuve suggérant un lien entre les deux opérations, les organisations proposant des services SMB exposés sur Internet courent un risque similaire.

En analysant les attaques WantToCry, les analystes des SophosLabs ont déterminé comment les attaquants identifiaient les victimes potentielles par le biais de la reconnaissance, accédaient aux réseaux en abusant des services SMB exposés qui reposaient sur une authentification faible, utilisaient le même protocole pour exfiltrer des fichiers vers une infrastructure contrôlée par l'attaquant, déployaient un chiffrement à distance, utilisaient à nouveau SMB pour réécrire les fichiers chiffrés sur l'hôte local et envoyaient ensuite une demande de rançon. Les analystes ont également cartographié une partie des infrastructures utilisées lors des campagnes.

Identification des victimes potentielles

Les opérateurs de WantToCry identifient les victimes potentielles en scannant Internet à la recherche de ports SMB ouverts. Les acteurs malveillants utilisent probablement les mêmes services de reconnaissance que les équipes de sécurité légitimes. Des services tels que Shodan et Censys analysent en permanence les systèmes exposés sur Internet, créant ainsi des bases de données facilement accessibles listant les services exposés que les attaquants peuvent exploiter pour sélectionner leurs cibles. Au 7 janvier 2026, Shodan a identifié plus de 1,5 million d'appareils dont les ports utilisés par SMB (ports TCP 139 et 445) étaient exposés sur Internet (voir Figure 1).

Shodan chart identifying top ten locations of devices exposing SMB ports, with U.S. overwhelmingly leading

Figure 1 : Les dix principaux emplacements des appareils exposant des ports SMB (Source : shodan.io)

Accès et chiffrement

Les opérateurs de WantToCry tentent ensuite d'accéder aux réseaux des cibles. Dans les attaques observées par les analystes de SophosLabs, les acteurs malveillants ont automatisé des tentatives de force brute ciblant les services SMB exposés à Internet sur les ports 139 et 445. Après s'être authentifiés avec succès à l'aide d'identifiants compromis ou faibles, les attaquants ont initié l'exfiltration de fichiers via des sessions SMB authentifiées. 

Le processus de chiffrement suivant a été lancé sur les fichiers exfiltrés stockés sur une infrastructure contrôlée par l'attaquant. Les fichiers chiffrés ont ensuite été écrits à leurs emplacements d'origine sur les systèmes des victimes via les mêmes sessions SMB authentifiées. WantToCry dépose des demandes de rançon nommées !Want_To_Cry.txt sur les systèmes affectés et ajoute le suffixe .want_to_cry aux fichiers chiffrés.

Deux modèles différents de demandes de rançon ont été observés. L'une invite la victime à communiquer avec les acteurs malveillants via qTox (voir Figure 2) ; l'autre est presque identique mais indique un compte Telegram (hxxps://t[.]me/want_to_cry_team) pour la communication. Les victimes pourraient utiliser ces canaux pour prouver l'efficacité du déchiffrement sur un maximum de trois fichiers test et pour obtenir les détails du portefeuille Bitcoin unique sur lequel le paiement de la rançon doit être effectué.

Screenshot of sample WantToCry ransom note

Figure 2 : Des demandes de rançon ont été observées lors d'attaques WantToCry. 

À chaque fois, l'attaquant exigeait une rançon de 600 $ pour les clés nécessaires au déchiffrement des fichiers. Dans d'autres demandes de rançon divulguées publiquement, les demandes variaient de 400 $ à 1 800 $. Ces montants sont faibles comparés aux demandes de rançon traditionnelles et reflètent probablement la portée limitée du déploiement du ransomware. Les attaques WantToCry ne comportent aucune activité post-intrusion, c'est-à-dire qu'il n'y a pas de positionnement du ransomware pour un impact maximal dans un environnement compromis. Il est donc probable que, dans de nombreux cas, le chiffrement ne s'effectue que sur les fichiers stockés sur l'hôte qui a exposé les services SMB à Internet. Bien que l'exfiltration de données soit une partie cruciale du processus de chiffrement, rien ne prouve que les données volées soient utilisées pour extorquer des victimes selon un modèle de type name-and-shame ou double extorsion. 

Infrastructure

Les analystes des SophosLabs ont observé que les acteurs malveillants utilisaient une infrastructure segmentée pour les différentes phases d'attaque. Les activités de reconnaissance identifiant les services SMB exposés et menant des tentatives d'authentification systématiques contre les cibles découvertes provenaient d'une adresse IP associée à un fournisseur d'hébergement basé en Russie (87[.]225[.]105[.]217).

Une fois les identifiants valides obtenus, un ensemble distinct de systèmes contrôlés par l'attaquant a lancé la phase de chiffrement. Ces systèmes ont établi des sessions SMB authentifiées et ont effectué des opérations prolongées de lecture et d'écriture de fichiers. L'analyse des attaques observées a révélé cinq adresses IP géolocalisées dans différents pays :

  • 109[.]69[.]58[.]213 - Allemagne
  • 185[.]189[.]13[.]56 - Fédération de Russie
  • 185[.]200[.]191[.]37 - États Unis d’Amérique
  • 1194[.]36[.]179[.]18 - Singapour
  • 1194[.]36[.]179[.]30 - Singapour

Deux noms d'ordinateurs différents ont été utilisés lors des attaques : WIN-J9D866ESIJ2 (un périphérique Windows Server 2016) et WIN-LIVFRVQFMKO (un périphérique Windows Server 2019). Une détection de Sophos CryptoGuard du 6 janvier 2026 a montré qu'une adresse IP associée à l'hôte WIN-J9D866ESIJ2 a écrit une demande de rançon WantToCry dans plusieurs répertoires (voir Figure 3).

Screenshot of CryptoGuard WantToCry detection involving a device named WIN-J9D866ESIJ2

Figure 3 : Détection par CryptoGuard d'un incident WantToCry impliquant un dispositif d'acteur malveillant nommé WIN-J9D866ESIJ2

Des chercheurs tiers ont observé le nom d'ordinateur WIN-J9D866ESIJ2 dans des attaques impliquant le déploiement de NetSupport RAT. WIN-LIVFRVQFMKO a déjà été observé par Sophos et des chercheurs tiers dans une série d'activités malveillantes, notamment des attaques impliquant les ransomwares LockBit, Qilin et BlackCat (également connu sous le nom d'ALPHV). Cependant, un nom d'ordinateur identique ne signifie pas nécessairement que le même appareil ait été utilisé ou que le même acteur malveillant ait été responsable. Ces deux noms d'ordinateurs sont émis en tant que machines virtuelles par ISPsystem, qui est un fournisseur légitime de plateformes de gestion d'infrastructures IT ; ils apparaîtront donc également dans le cadre d'activités non malveillantes. Cependant, les machines virtuelles générées par des fournisseurs légitimes peuvent être réutilisées par des fournisseurs d'hébergement bulletproof et proposées en leasing à divers acteurs malveillants. Les chercheurs de la CTU (Counter Threat Unit™) ont détaillé l'utilisation abusive des machines virtuelles.

Défis en matière de détection

Les protections EDR (Endpoint Detection and Response) et les solutions antivirus sont confrontées à des défis lorsqu'il s'agit de contrer la méthodologie utilisée dans les attaques WantToCry. Ces systèmes s'appuient généralement sur des indicateurs basés sur les processus, l'analyse comportementale des applications en cours d'exécution et l'identification des signatures de malwares connus. Comme WantToCry fonctionne sans exécution de code local, il n'y a pas de processus suspects associés à analyser ni de fichiers malveillants à identifier. De plus, les outils de sécurité classent généralement les opérations sur les fichiers effectuées via le protocole SMB comme un comportement normal du système plutôt que comme une activité potentiellement menaçante. Cependant, les outils qui surveillent les modifications du contenu des fichiers, comme Sophos CryptoGuard, détectent l'activité de chiffrement quelle que soit sa source plutôt que d'essayer d'identifier les processus malveillants ou les schémas comportementaux. 

Malgré la surface de détection réduite, les opérations WantToCry génèrent des artefacts observables au niveau du réseau et de l'authentification. La surveillance du réseau permet d'identifier les opérations de lecture et d'écriture SMB prolongées provenant d'adresses IP externes, en particulier lorsque ces opérations impliquent des volumes inhabituels d'accès aux fichiers ou se produisent en dehors des schémas d'activité normaux.

Conclusion

Comme pour toute activité de type ransomware, la prévention reste essentielle pour mitiger la menace que représentent les opérations de ransomware à distance telles que WantToCry. Les mesures préventives comprennent la désactivation du protocole SMBv1 dans toute l'organisation, la suppression de l'accès SMB « invité » ou anonyme et le blocage du trafic SMB entrant (ports TCP/139 et TCP/445) sur tous les pare-feu exposés à Internet. De plus, il est important de s'assurer que les sauvegardes ne sont pas accessibles via les protocoles SMB.

Les organisations devraient également mettre en œuvre des contrôles au niveau du réseau et une surveillance du contenu des fichiers pour contrer efficacement cette méthode d'attaque. Un outil comme Sophos CryptoGuard peut identifier, bloquer et annuler les activités de chiffrement effectuées via les protocoles SMB.

WantToCry s'appuie sur une authentification faible et une exposition à Internet plutôt que sur des vulnérabilités logicielles ou des mécanismes de diffusion de malwares. Les solutions XDR (Extended Detection and Response) peuvent identifier les tentatives de reconnaissance et de force brute contre les services SMB, fournissant des alertes précoces sur les opérations potentielles de WantToCry.

Billet inspiré de WantToCry ransomware remotely encrypts files, sur le Blog Sophos. 

À propos de l'auteur

Author - Sophos Logo

Sophos Counter Threat Unit Research Team

Sophos Counter Threat Unit™ (CTU) researchers are recognized authorities in the cybersecurity field, regularly contributing expert analysis to global media, publishing technical analyses for the security community, and presenting about emerging threats at leading security conferences. Backed by Sophos’ advanced security technologies and a broad network of intelligence contacts and partners, the CTU™ plays a critical role in identifying and tracking threat actors and analyzing anomalous activity, uncovering new attack techniques, threats, and major shifts in the threat landscape.