Ameaça digital: ransomware remoto reduz capacidade de reação das empresas

Um novo tipo de ataque de ransomware identificado pela Sophos está acendendo um alerta para empresas de todos os portes. Batizado de WantToCry, o grupo criminoso utiliza uma técnica de criptografia remota que dispensa a instalação de malware nos equipamentos da vítima, reduzindo significativamente a capacidade de detecção por ferramentas tradicionais de segurança.

A descoberta chama a atenção porque rompe uma das premissas sobre as quais grande parte das estratégias de proteção corporativa foi construída: a identificação de códigos maliciosos em execução dentro dos dispositivos. No caso do WantToCry, os invasores exploram serviços SMB (Server Message Block) expostos à internet e protegidos por credenciais fracas ou comprometidas para acessar arquivos corporativos. Em seguida, transferem os dados para uma infraestrutura sob seu controle, realizam a criptografia remotamente e devolvem os arquivos já bloqueados aos sistemas da vítima.

Segundo a Sophos, o método reduz a quantidade de evidências normalmente utilizadas por soluções de Endpoint Detection and Response (EDR) e antivírus para identificar uma invasão. Como não há malware sendo executado localmente, não existem processos suspeitos ou arquivos maliciosos que possam ser analisados. Do ponto de vista das ferramentas de segurança, a atividade pode parecer apenas uma operação legítima de leitura e gravação de arquivos por meio da rede.

O nome WantToCry faz referência ao ransomware WannaCry, responsável por uma das maiores epidemias digitais da história em 2017. Apesar da semelhança no nome, não há evidências de ligação entre as duas operações. A diferença é que o novo grupo não depende da exploração de vulnerabilidades para se espalhar, mas da identificação de serviços SMB acessíveis pela internet e de credenciais mal protegidas.

O risco é particularmente relevante para pequenas e médias empresas que mantêm servidores de arquivos expostos para facilitar o acesso remoto de colaboradores, fornecedores ou parceiros. Nesses ambientes, uma senha fraca pode ser suficiente para permitir que os criminosos obtenham acesso e iniciem o processo de criptografia.

Nas grandes corporações, o impacto pode ocorrer em servidores específicos que concentram documentos, projetos, contratos ou informações operacionais críticas. Ainda que o ataque não comprometa toda a rede, a indisponibilidade desses dados pode interromper processos de negócio e gerar prejuízos financeiros e operacionais significativos.

Os pesquisadores observaram que os criminosos realizam varreduras na internet em busca de portas SMB abertas, utilizando ferramentas de reconhecimento amplamente disponíveis. Dados analisados pela Sophos indicam que mais de 1,5 milhão de dispositivos com portas SMB expostas estavam visíveis publicamente no início deste ano, demonstrando o tamanho da superfície de ataque disponível.

Após localizar os alvos, os invasores automatizam tentativas de força bruta contra as portas TCP 139 e 445. Quando conseguem credenciais válidas, passam a copiar os arquivos para servidores externos, onde ocorre a criptografia. Os dados são então regravados nos sistemas comprometidos com a extensão “.want_to_cry”, acompanhados de uma nota exigindo pagamento de resgate.

Embora os valores solicitados variem entre US$ 400 e US$ 1.800 — montantes relativamente modestos quando comparados aos grandes ataques de ransomware corporativo — a preocupação dos especialistas está menos no valor da extorsão e mais na técnica utilizada. O caso demonstra que grupos criminosos estão explorando cada vez mais acessos legítimos e serviços corporativos comuns para contornar mecanismos tradicionais de proteção.

Para a Sophos, o surgimento do WantToCry reforça a necessidade de ampliar a visibilidade sobre identidade, rede e dados, além da proteção tradicional de endpoints. Monitoramento de tentativas de força bruta, análise de tráfego SMB, autenticação multifator e políticas rigorosas de controle de acesso tornam-se medidas fundamentais para reduzir a exposição.

A recomendação dos pesquisadores inclui ainda o bloqueio do tráfego SMB diretamente da internet, a desativação do protocolo SMBv1, a eliminação de acessos anônimos ou de convidados e a proteção dos ambientes de backup contra acessos via compartilhamento de arquivos.

Mais do que uma nova família de ransomware, o WantToCry sinaliza uma mudança na dinâmica dos ataques. Em vez de depender da instalação de malware sofisticado, os criminosos estão apostando no uso de credenciais válidas e de protocolos legítimos para sequestrar dados, tornando a detecção mais difícil e elevando os desafios para as estratégias modernas de cibersegurança.