Программа-вымогатель WantToCry удаленно шифрует файлы.

Аналитики SophosLabs исследовали атаки программы-вымогателя WantToCry, в ходе которых злоумышленники использовали протокол SMB (Server Message Block) для первоначального доступа, а затем передавали файлы на контролируемую злоумышленниками инфраструктуру для удаленного шифрования. Поверхность обнаружения значительно ограничена, поскольку WantToCry работает без локального запуска вредоносного ПО, и после взлома не происходит никакой активности, кроме передачи файлов и их перезаписи на диск.

Название WantToCry, по всей видимости, является отсылкой к печально известному вирусу-вымогателю WannaCry (также известному как WCry), который распространился через уязвимость в сетях малого и среднего бизнеса в начале 2017 года. Хотя WantToCry не распространяется самостоятельно, и нет никаких доказательств связи между этими двумя операциями, организации, использующие доступные через интернет сервисы для малого и среднего бизнеса, также подвергаются риску.

Анализируя атаки WantToCry, аналитики SophosLabs определили, как злоумышленники выявляли потенциальных жертв посредством разведки, получали доступ к сетям, используя уязвимые службы SMB, основанные на слабой аутентификации, применяли тот же протокол для утечки файлов на контролируемую злоумышленниками инфраструктуру, развертывали удаленное шифрование, снова использовали SMB для перезаписи зашифрованных файлов на локальный хост и отправляли записку с требованием выкупа. Аналитики также составили карту части инфраструктуры, использованной в этих кампаниях.

Выявление потенциальных жертв

Операторы WantToCry идентифицируют потенциальных жертв, сканируя интернет на наличие открытых портов SMB. Злоумышленники, вероятно, используют те же разведывательные сервисы, что и легитимные группы безопасности. Такие сервисы, как Shodan и Censys, постоянно сканируют системы, доступные из интернета, создавая легкодоступные базы данных открытых сервисов, которые злоумышленники могут использовать для выбора целей. По состоянию на 7 января 2026 года Shodan выявил более 1,5 миллиона устройств, у которых порты, используемые SMB (TCP-порты 139 и 445), были открыты для доступа из интернета (см. Рисунок 1).

Рисунок 1: Десять наиболее распространенных мест расположения устройств, предоставляющих доступ к портам SMB (Источник: shodan.io)

Доступ и шифрование

Затем операторы WantToCry пытаются получить доступ к сетям жертв. В ходе атак, зафиксированных аналитиками SophosLabs, злоумышленники автоматизировали попытки подбора паролей методом перебора, нацеленные на SMB-сервисы, доступные через интернет по портам 139 и 445. После успешной аутентификации с использованием скомпрометированных или слабых учетных данных злоумышленники инициировали утечку файлов через аутентифицированные SMB-сессии.

Последующий процесс шифрования был запущен для похищенных файлов, хранящихся на инфраструктуре, контролируемой злоумышленником. Затем зашифрованные файлы были записаны в исходные места на системах жертв через те же аутентифицированные сеансы SMB. WantToCry оставляет на затронутых системах записки с требованием выкупа под названием !Want_To_Cry.txt и добавляет суффикс .want_to_cry к зашифрованным файлам.

Были обнаружены два разных шаблона записки с требованием выкупа. Один предлагает жертве связаться с злоумышленниками через qTox (см. Рисунок 2); другой практически идентичен, но указывает на аккаунт в Telegram (hxxps://t[.]me/want_to_cry_team) для связи. Предполагается, что жертвы могут использовать эти каналы, чтобы доказать эффективность расшифровки до трех тестовых файлов и получить данные уникального биткойн-кошелька, на который должен быть произведен выкуп.

Рисунок 2: Записка с требованием выкупа, обнаруженная в атаках WantToCry.

В каждом случае злоумышленник требовал выкуп в размере 600 долларов США за ключи, необходимые для расшифровки файлов. В других публично обнародованных записках с требованиями выкупа суммы варьировались от 400 до 1800 долларов. Эти суммы низки по сравнению с традиционными требованиями выкупа и, вероятно, отражают ограниченный масштаб распространения программы-вымогателя. После вторжения в атаки WantToCry не происходит никакой активности — то есть, программа-вымогатель не размещается таким образом, чтобы оказать максимальное воздействие на скомпрометированную среду. Поэтому, вероятно, во многих случаях шифрование происходит только над файлами, хранящимися на хосте, который предоставил доступ к сервисам SMB через Интернет. Хотя эксфильтрация данных является важной частью процесса шифрования, нет никаких доказательств того, что украденные данные использовались для вымогательства у жертв по схеме «назвать имя и опозорить» или «двойного вымогательства».

Инфраструктура

Аналитики SophosLabs наблюдали, как злоумышленники использовали сегментированную инфраструктуру для различных этапов атаки. Разведывательные действия, выявившие уязвимые сервисы SMB и проводившие систематические попытки аутентификации обнаруженных целей, осуществлялись с IP-адреса, связанного с российским хостинг-провайдером (87[.]225[.]105[.]217).

После получения действительных учетных данных отдельный набор систем, контролируемых злоумышленником, инициировал фазу шифрования. Эти системы устанавливали аутентифицированные SMB-сессии и выполняли длительные операции чтения и записи файлов. Анализ наблюдаемых атак выявил пять IP-адресов, геолокация которых соответствовала разным странам:

• 109[.]69[.]58[.]213 — Германия
• 185[.]189[.]13[.]56 — Российская Федерация
• 185[.]200[.]191[.]37 — Соединенные Штаты Америки
• 194[.]36[.]179[.]18 — Сингапур
• 194[.]36[.]179[.]30 — Сингапур

В атаках использовались два разных имени компьютера: WIN-J9D866ESIJ2 (устройство под управлением Windows Server 2016) и WIN-LIVFRVQFMKO (устройство под управлением Windows Server 2019). Обнаружение Sophos CryptoGuard от 6 января 2026 года показало, что IP-адрес, связанный с хостом WIN-J9D866ESIJ2, отправил сообщение с требованием выкупа WantToCry в несколько каталогов (см. рисунок 3).

Рисунок 3: Обнаружение CryptoGuard инцидента WantToCry, в котором участвовало устройство злоумышленника под названием WIN-J9D866ESIJ2.

Независимые исследователи обнаружили имя компьютера WIN-J9D866ESIJ2 в атаках, связанных с развертыванием NetSupport RAT. Имя компьютера WIN-LIVFRVQFMKO ранее было обнаружено как Sophos, так и сторонними исследователями в ряде вредоносных действий, включая атаки с использованием программ-вымогателей LockBit, Qilin и BlackCat (также известной как ALPHV). Однако одинаковое имя компьютера не означает, что использовалось одно и то же устройство или что за это отвечал один и тот же злоумышленник. Оба этих имени компьютера выдаются в качестве виртуальных машин компанией ISPsystem, которая является легитимным поставщиком платформ управления ИТ-инфраструктурой, поэтому они также будут появляться в невредоносной деятельности. Однако виртуальные машины, созданные легитимными поставщиками, могут быть перепрофилированы защищенными хостинг-провайдерами и сданы в аренду различным злоумышленникам. Исследователи из Counter Threat Unit™ (CTU) подробно описали злоупотребление виртуальными машинами.

Проблемы обнаружения

Системы обнаружения и реагирования на угрозы на конечных устройствах (EDR) и антивирусные решения сталкиваются с трудностями при противодействии методологии, используемой в атаках WantToCry. Эти системы обычно полагаются на индикаторы, основанные на процессах, поведенческий анализ запущенных приложений и идентификацию известных сигнатур вредоносных программ. Поскольку WantToCry работает без локального выполнения кода, нет связанных с ним подозрительных процессов для анализа или вредоносных файлов для идентификации. Кроме того, инструменты безопасности обычно классифицируют операции с файлами, проводимые по протоколу SMB, как нормальное поведение системы, а не как потенциальную угрозу. Однако инструменты, отслеживающие изменения содержимого файлов, такие как Sophos CryptoGuard, обнаруживают активность шифрования независимо от ее источника, а не пытаются идентифицировать вредоносные процессы или поведенческие модели.

Несмотря на уменьшенную площадь поверхности обнаружения, операции WantToCry всё же генерируют наблюдаемые сетевые и аутентификационные артефакты. Сетевой мониторинг может выявлять длительные операции чтения и записи SMB, исходящие с внешних IP-адресов, особенно когда эти операции включают необычно большие объемы доступа к файлам или происходят вне обычных бизнес-процессов.

Заключение

Как и в случае со всеми видами атак программ-вымогателей, профилактика остается ключевым фактором в снижении угрозы удаленных операций программ-вымогателей, таких как WantToCry. Профилактические меры включают отключение протокола SMBv1 во всей организации, удаление «гостевого» или анонимного доступа по протоколу SMB и блокировку входящего трафика SMB (порты TCP/139 и TCP/445) на всех межсетевых экранах, подключенных к интернету. Кроме того, важно обеспечить невозможность доступа к резервным копиям через протоколы SMB.

Для эффективного противодействия этому методу атаки организациям также следует внедрить средства контроля на сетевом уровне и мониторинг содержимого файлов. Такой инструмент, как Sophos CryptoGuard, может выявлять, блокировать и отменять операции шифрования, выполняемые по протоколам SMB.

WantToCry полагается на слабую аутентификацию и доступность через интернет, а не на программные уязвимости или механизмы распространения вредоносного ПО. Решения расширенного обнаружения и реагирования (XDR) могут выявлять попытки разведки и перебора паролей в отношении сервисов малого и среднего бизнеса, обеспечивая раннее предупреждение о потенциальных операциях WantToCry.