SophosLabs のアナリストは、初期アクセスに Server Message Block (SMB) サービスを悪用し、その後、攻撃者の制御下にあるインフラストラクチャにファイルを持ち出してリモートで暗号化する WantToCry ランサムウェア攻撃を調査しました。WantToCry はローカルでのマルウェア実行を伴わず、ファイルの持ち出しとディスクへの再書き込み以外に侵害後活動を行わないため、検知の機会が著しく減少します。

WantToCry という名称は、2017 年の初めに SMB の脆弱性を介して拡散した悪名高い WannaCry (別名 WCry) ランサムウェアワームに由来しているようです。WantToCry には自己拡散機能はなく、両者の関連性を示唆する証拠もありませんが、インターネットに公開された SMB サービス組織を利用している組織は同様のリスクにさらされています。

SophosLabs のアナリストは、WantToCry 攻撃を分析することで、一連の手口、つまり、攻撃者がどのように偵察を通じて標的を特定し、脆弱な認証を利用している SMB サービスを悪用してネットワークへのアクセスを獲得し、同じプロトコルを使用してファイルを攻撃者の制御下にあるインフラストラクチャへ流出させ、リモートで暗号化を行い、再び SMB を使用して暗号化されたファイルをローカルホストに戻し、ランサムノート (身代金要求メッセージ) を送信したかを特定しました。また、これらのキャンペーンで使用されたインフラストラクチャの一部をマッピングしました。

潜在的な被害者 (標的) の特定

WantToCry のオペレーターは、インターネット上で公開されている SMB ポートをスキャンすることで、標的を特定します。攻撃者は、正規のセキュリティチームと同じ偵察サービスを使用している可能性が高く、Shodan や Censys などのサービスはインターネットに公開されているシステムを継続的にスキャンし、悪用可能なサービスのデータベースを作成しているため、攻撃者はこれを標的の選定に活用することができます。2026 年 1 月 7 日の時点で、Shodan は、SMB で使用されるポート (TCP ポート 139 および 445) がインターネットに公開されているデバイスを 150 万台以上特定しました (図 1 を参照)。

図 1：SMB ポートを公開しているデバイスの上位 10 カ所 (出典: shodan.io)

アクセスと暗号化

WantToCry のオペレーターは続いて、標的のネットワークへのアクセスを試みます。SophosLabs のアナリストが確認した攻撃では、ポート 139 および 445 でインターネットに公開されている SMB サービスを狙ったブルートフォース攻撃が自動化されていました。漏洩した認証情報や脆弱な認証情報を使用して認証に成功した攻撃者は、認証済みの SMB セッションを介してファイルの持ち出しを開始しました。

その後の暗号化プロセスは、持ち出され、攻撃者の制御下にあるインフラストラクチャ上に保存されたファイルに対して開始されました。その後、暗号化されたファイルは、同じ認証済み SMB セッションを介して被害者のシステム上の元の場所に書き込まれました。WantToCry は、感染したシステムに「!Want_To_Cry.txt」という名前のランサムノートを残し、暗号化されたファイルに拡張子「.want_to_cry」を追加します。

2 つの異なるランサムノートのテンプレートが確認されています。1 つは qTox 経由で攻撃者と連絡を取るよう被害者に促すもので (図 2 を参照)、もう 1 つはほぼ同じですが、連絡先として Telegram アカウント (hxxps://t[.]me/want_to_cry_team) を記載しています。被害者は、これらの通信手段を使用して、最大 3 つのテストファイルで暗号化解除の有効性を確認し、身代金の支払い先となるビットコインウォレットの詳細情報を入手できるとされています。

図 2: WantToCry 攻撃で確認されたランサムノート

いずれのインシデントにおいても、攻撃者はファイルの暗号化解除に必要なキーと引き換えに身代金 600 ドルを要求していました。公開されている他のランサムノートでは、要求額は 400 ドルから 1,800 ドルの範囲でした。この金額は従来の要求額より低く、ランサムウェアの展開範囲が限定的であったことを反映していると考えられます。WantToCry 攻撃には侵入後の活動が見られません。つまり、侵害された環境で最大のインパクトをもたらすようランサムウェアを配置するといった動きはありません。したがって、多くの場合、暗号化はインターネットに SMB サービスを公開していたホストに保存されているファイルに対してのみ行われると考えられます。データの持ち出しは暗号化プロセスの重要な部分ではありますが、盗まれたデータが「企業名の暴露 (name-and-shame)」や「二重恐喝」の手法で被害者を脅迫するために使用されたという証拠はありません。

インフラストラクチャ

SophosLabs のアナリストは、攻撃者がさまざまな攻撃フェーズでセグメント化されたインフラストラクチャを使用していることを確認しました。公開されている SMB サービスを特定し、発見した標的に対してシステマチックに認証を試みる偵察活動は、ロシアを拠点とするホスティングプロバイダーと関連のある IP アドレス (87[.]225[.]105[.]217) から発信されていました。

有効な認証情報が取得されると、攻撃者の制御下にある別のシステム群が暗号化フェーズを開始しました。これらのシステムは、認証済み SMB セッションを確立し、継続的なファイルの読み取りおよび書き込み操作を実行しました。観測された攻撃を分析したところ、以下の国に位置する 5 つの IP アドレスが特定されました。

• 109[.]69[.]58[.]213 - ドイツ
• 185[.]189[.]13[.]56 - ロシア連邦
• 185[.]200[.]191[.]37 - アメリカ合衆国
• 194[.]36[.]179[.]18 - シンガポール
• 194[.]36[.]179[.]30 - シンガポール

攻撃では 2 つの異なるコンピュータ名、WIN-J9D866ESIJ2 (Windows Server 2016 デバイス) および WIN-LIVFRVQFMKO (Windows Server 2019 デバイス) が使用されていました。2026 年 1 月 6 日の Sophos CryptoGuard による検知結果では、WIN-J9D866ESIJ2 ホストに関連付けられた IP アドレスが、複数のディレクトリに WantToCry のランサムノートを書き込んだことが示されました (図 3 を参照)。

図 3: 攻撃者のデバイス「WIN-J9D866ESIJ2」が関与した WantToCry インシデントに対する CryptoGuard の検知結果

サードパーティの研究者らは、NetSupport RAT の展開を伴う攻撃において、WIN-J9D866ESIJ2 というコンピュータ名を確認しました。また、WIN-LIVFRVQFMKO については、以前にソフォスとサードパーティの研究者らによって、LockBit、Qilin、および BlackCat (別名 ALPHV) ランサムウェアを伴う攻撃を含む、一連の悪意のある活動において確認されています。ただし、同じコンピュータ名であるからといって、同じデバイスが使用された、あるいは同じ攻撃者が関与したとは限りません。どちらのコンピュータ名も IT インフラストラクチャ管理プラットフォームの正規プロバイダーである ISPsystem によって仮想マシンとして発行されているため、悪意のない活動においても表示されます。しかし、正規ベンダーによって生成された仮想マシンは、防弾ホスティングプロバイダーによって転用され、さまざまな攻撃者に貸し出される可能性があります。Counter Threat Unit™ (CTU) の研究者が、仮想マシンの悪用について詳しく説明しています。

検知の課題

EDR (Endpoint Detection and Response) ソリューションやウイルス対策ソリューションは、WantToCry 攻撃で使用される手法に対処する際に課題に直面します。これらのシステムは通常、プロセスベースの指標、実行中のアプリケーションの動作分析、および既知のマルウェアシグネチャの識別に依存しています。WantToCry はローカルでコードを実行しないため、分析対象となる不審なプロセスや、特定すべき悪意のあるファイルが存在しません。さらに、セキュリティツールは通常、SMB プロトコルを介して行われるファイル操作を、潜在的な脅威活動ではなく通常のシステム動作として分類します。しかし、Sophos CryptoGuard のようにファイルコンテンツの変更を監視するツールは、悪意のあるプロセスや動作パターンの特定を試みるのではなく、その発生源に関係なく暗号化活動を検知します。

検知範囲は狭まっていますが、WantToCry が活動すると、観測可能なネットワークおよび認証の痕跡が生成されます。ネットワークを監視することで、外部 IP アドレスから発信される持続的な SMB 読み取りおよび書き込み操作を特定できます。特に、これらの操作に通常とは異なる量のファイルアクセスが伴う場合や、通常の業務時間外に発生する場合に有効です。

結論

あらゆるランサムウェア活動と同様に、WantToCry のようなリモートランサムウェアの脅威を軽減するためには、予防が鍵となります。予防策としては、組織全体での SMBv1 プロトコルの無効化、「ゲスト」または匿名の SMB アクセスの削除、およびインターネットに接続されたすべてのファイアウォールでのインバウンド SMB トラフィック (ポート TCP/139 および TCP/445) のブロックが挙げられます。さらに、SMB プロトコルを介してバックアップにアクセスできないようにすることも重要です。

また、組織はこの攻撃手法に効果的に対処するため、ネットワークレベルの制御とファイルコンテンツの監視を導入する必要があります。Sophos CryptoGuard などのツールであれば、SMB プロトコルを介して実行される暗号化活動を特定、ブロック、およびロールバックすることができます。

WantToCry は、ソフトウェアの脆弱性やマルウェアの配信メカニズムではなく、認証の脆弱さとインターネットへの無防備な公開状態を悪用するものです。XDR (Extended Detection and Response) ソリューションは、SMB サービスに対する偵察やブルートフォース攻撃を特定し、潜在的な WantToCry 攻撃の早期警告を提供することができます。