В начале 2026 года эксперты SophosLabs зафиксировали серию атак нового вымогателя WantToCry. Его название явно отсылает к печально известному червю WannaCry, который в 2017 году заразил сотни тысяч компьютеров по всему миру. Однако WantToCry действует совершенно иначе. Он не распространяется автоматически и не использует уязвимости в операционных системах. Вместо этого злоумышленники ищут организации, чьи серверы открыты для подключения по протоколу SMB.
Описание
Протокол SMB (Server Message Block) предназначен для сетевого доступа к файлам и принтерам. Если порты 139 и 445 этого протокола доступны из интернета, любой желающий может попытаться подключиться к ним. Именно эту возможность и используют операторы WantToCry. Они сканируют интернет с помощью сервисов вроде Shodan и Censys, которые постоянно собирают данные об открытых портах. На 7 января 2026 года Shodan насчитывал более полутора миллионов устройств с открытыми SMB-портами. Большинство из них находилось в Соединённых Штатах.
После обнаружения цели атакующие автоматически перебирают учётные данные. Атаки, проанализированные SophosLabs, показали, что злоумышленники успешно входят в системы, используя слабые или скомпрометированные пароли. Специалисты SophosLabs в своём отчёте подробно описали дальнейшие шаги. Получив доступ, они через тот же SMB-канал выгружают все файлы жертвы на собственные серверы. Затем на этих серверах происходит шифрование. После шифрования зашифрованные копии записываются обратно на компьютер жертвы, заменяя оригинальные файлы. В системе не остаётся никаких вредоносных программ или процессов - все операции выполняются удалённо через легитимный протокол.
Жертва обнаруживает, что файлы получили расширение .want_to_cry, а в папках появляется текстовая записка с требованием выкупа. Сумма выкупа варьируется от 400 до 1800 долларов США. В среднем авторы требуют около 600 долларов. Это заметно ниже, чем традиционные запросы вымогателей. Причина в том, что атака затрагивает только тот компьютер, который открыл SMB-порты, и не распространяется на всю сеть. Для связи жертве предлагают воспользоваться мессенджером qTox или Telegram. При этом, хотя злоумышленники и выгружают данные, нет никаких признаков того, что они используют украденную информацию для шантажа - так называемой двойной схемы вымогательства, когда данные публикуют в открытом доступе, если выкуп не выплачен.
Инфраструктура кампании оказалась сегментированной. Сканирование и попытки подбора паролей велись с одного IP-адреса, зарегистрированного на российского хостинг-провайдера. Само шифрование и запись файлов выполнялись с пяти других IP-адресов, расположенных в Германии, России, Соединённых Штатах и Сингапуре. Аналитики также обнаружили два имени компьютеров, которые использовались в атаках. Одно из них ранее фигурировало в инцидентах с программами-вымогателями LockBit, Qilin и BlackCat. Однако, как отмечают эксперты, само по себе имя компьютера не доказывает связь с этими группировками - виртуальные машины с такими именами могут предоставляться легитимными поставщиками и затем арендоваться разными преступниками.
Метод WantToCry создаёт серьёзные сложности для средств защиты. Традиционные антивирусы и системы EDR риентированы на анализ запущенных процессов и обнаружение вредоносных файлов. Поскольку в системе жертвы не выполняется никакой код, эти инструменты не видят аномалий. Операции чтения и записи по протоколу SMB обычно считаются нормальной сетевой активностью. Тем не менее существуют технологии, которые анализируют изменения содержимого файлов.
Для защиты от WantToCry и подобных атак эксперты рекомендуют в первую очередь закрыть доступ к SMB из интернета. Следует отключить первую версию протокола SMB (SMBv1), которая содержит уязвимости, удалить гостевой доступ и заблокировать входящие подключения к портам 139 и 445 на межсетевых экранах. Кроме того, важно настроить резервное копирование так, чтобы резервные копии не были доступны через SMB. Мониторинг сетевой активности поможет заметить подозрительные сеансы SMB с внешних адресов, особенно если они сопровождаются массовым чтением и записью файлов.
Атаки WantToCry показывают, что даже простая эксплуатация открытых сервисов может привести к серьёзным последствиям. Организациям стоит воспринимать их как напоминание о необходимости базовых мер сетевой безопасности. Ведь злоумышленникам не всегда требуются сложные уязвимости - иногда достаточно слабого пароля и открытого порта.
Индикаторы компрометации
IPv4
- 109.69.58.213
- 185.189.13.56
- 185.200.191.37
- 194.36.179.18
- 194.36.179.30
- 87.225.105.217
