.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Gli analisti di SophosLabs hanno analizzato attacchi ransomware WantToCry nei quali gli aggressori hanno abusato del servizio Server Message Block (SMB) per ottenere l’accesso iniziale e successivamente esfiltrare file verso infrastrutture controllate dagli attaccanti per la cifratura remota. La superficie di rilevamento risulta significativamente ridotta perché WantToCry opera senza eseguire malware localmente e non vi è alcuna attività post-compromissione oltre all’esfiltrazione dei file e alla loro riscrittura sul disco.
Il nome WantToCry sembra essere un riferimento al famigerato worm ransomware WannaCry (noto anche come WCry), diffusosi tramite una vulnerabilità SMB all’inizio del 2017. Sebbene WantToCry non sia auto-propagante e non vi siano prove che suggeriscano un collegamento tra le due operazioni, le organizzazioni con servizi SMB esposti su internet risultano analogamente a rischio.
Studiando gli attacchi WantToCry, gli analisti di SophosLabs hanno determinato in che modo gli attaccanti abbiano identificato le potenziali vittime tramite attività di ricognizione, ottenuto accesso alle reti abusando di servizi SMB esposti che si basavano su autenticazioni deboli, utilizzato lo stesso protocollo per esfiltrare file verso infrastrutture controllate dagli attaccanti, distribuito la cifratura remota, usato nuovamente SMB per riscrivere i file cifrati sull’host locale e consegnato una richiesta di riscatto per ottenere il pagamento. Gli analisti hanno inoltre mappato parte dell’infrastruttura utilizzata nelle campagne.
Identificazione delle potenziali vittime
Gli operatori di WantToCry identificano le potenziali vittime effettuando scansioni di internet alla ricerca di porte SMB aperte. Gli aggressori probabilmente utilizzano gli stessi servizi di ricognizione impiegati dai team di sicurezza legittimi. Servizi come Shodan e Censys eseguono continuamente scansioni dei sistemi esposti su internet, creando database facilmente accessibili dei servizi esposti che gli attaccanti possono sfruttare per selezionare i propri obiettivi. Al 7 gennaio 2026, Shodan aveva identificato oltre 1,5 milioni di dispositivi con porte utilizzate da SMB (porte TCP 139 e 445) esposte su internet.
Leggi tutto l’articolo: https://www.sophos.com/en-us/blog/wanttocry-ransomware-remotely-encrypts-files