A cena da cibersegurança nunca para de surpreender, e não da melhor forma. Pesquisadores da Sophos acabam de identificar uma nova operação de ransomware, batizada de WantToCry, que está elevando o nível de sofisticação dos ataques. Em vez de infectar máquinas com malware tradicional, essa nova ameaça criptografa arquivos remotamente, explorando serviços SMB (Server Message Block) expostos na internet. Pense numa invasão fantasma: ela age sem deixar rastros digitais que as ferramentas de segurança convencionais estão acostumadas a procurar.
Essa abordagem é particularmente insidiosa, pois foge da detecção por métodos clássicos. O WantToCry não precisa de um programa rodando na máquina da vítima. Ele simplesmente usa vulnerabilidades existentes na configuração de rede, tornando a defesa muito mais complexa para empresas e usuários descuidados com suas políticas de segurança.
Entre os principais pontos levantados pelos analistas da Sophos, destacam-se duas táticas cruciais:
Os criminosos usam tentativas de força bruta contra portas SMB abertas na internet, combinadas com credenciais roubadas ou notoriamente fracas.
As tentativas de força bruta, por si só, já deveriam servir como um alerta crucial, um sinal de que algo está errado bem antes da criptografia devastadora acontecer.
Tentativas de força bruta contra serviços SMB podem ser sinais iniciais de um ataque.
Os pesquisadores da SophosLabs mergulharam a fundo nos ataques do WantToCry e desvendaram o roteiro dos cibercrimeosos. Primeiro, eles obtêm acesso inicial explorando o serviço SMB. Em seguida, e aqui reside uma genialidade perversa, eles exfiltram os arquivos para uma infraestrutura controlada por eles. A criptografia é feita remotamente, fora da rede da vítima, e só depois os arquivos criptografados são reescritos no disco local, novamente via SMB. A única pegada deixada é a nota de resgate, exigindo o pagamento em criptomoedas. É um ataque que prioriza o sigilo, minimizando qualquer rastro digital.
A sombra do WannaCry e as portas abertas
O nome WantToCry não é mera coincidência. Ele é uma clara referência ao famigerado WannaCry, que causou estragos globais em 2017 ao explorar uma vulnerabilidade no próprio SMB. Embora os pesquisadores ressaltem que o WantToCry não é autorreplicante como seu predecessor e não há evidências de ligação direta entre as operações, a similaridade no vetor de ataque é assustadora. Empresas que mantêm serviços SMB expostos à internet continuam sendo alvos fáceis e correm riscos comparáveis aos de sete anos atrás. A lição sobre a segurança de redes ainda não foi aprendida por todos, ao que parece.
Como os operadores do WantToCry encontram suas vítimas? A resposta está na internet de ponta a ponta. Eles utilizam serviços de reconhecimento amplamente disponíveis, a mesma inteligência de ameaças que equipes de segurança legítimas usam para mapear a exposição de suas próprias redes. Plataformas como Shodan e Censys, que escaneiam continuamente sistemas conectados à internet, criam bancos de dados gigantescos de serviços expostos. Esses bancos de dados se tornam um cardápio farto para os invasores escolherem seus próximos alvos. É como se a própria internet estivesse entregando as chaves de casa para os ladrões.
Os números ilustram bem a dimensão do problema. Em uma varredura recente, o Shodan identificou que mais de 1,5 milhão de dispositivos tinham as portas TCP 139 e 445, usadas pelo SMB, abertas e expostas à internet. Isso representa uma superfície de ataque gigantesca, um convite aberto para qualquer um com as ferramentas certas – e más intenções – tentar uma invasão. A imagem abaixo, por exemplo, mostra as principais localizações desses dispositivos, revelando uma distribuição global da vulnerabilidade.
Figura 1: Dez principais localizações de dispositivos expondo portas SMB (Fonte: shodan.io)
Como se proteger dessa ameaça fantasma?
A proteção contra o WantToCry exige uma revisão fundamental das práticas de segurança digital. O primeiro e mais óbvio passo é nunca, em hipótese alguma, expor serviços SMB diretamente à internet. Se for absolutamente necessário acessá-los remotamente, opte por soluções seguras como VPNs robustas, com autenticação multifator. Além disso, a gestão de credenciais é vital: senhas fortes e únicas para cada serviço, e o uso de autenticação multifator para todas as contas possíveis, especialmente as que dão acesso a sistemas sensíveis.
Manter os sistemas operacionais e softwares de rede atualizados é outra linha de defesa essencial. Muitos dos ataques de ransomware exploram vulnerabilidades já conhecidas e para as quais já existem correções. A ignorância ou a preguiça em aplicar patches de segurança é um convite aberto para os cibercriminosos. O Brasil, infelizmente, ainda figura entre os países com maior número de empresas e órgãos governamentais com sistemas desatualizados e portas abertas, o que nos torna um alvo atraente para essas ameaças.
Por fim, e não menos importante, o monitoramento constante das redes é crucial. Detectar tentativas de força bruta e comportamentos anômalos no tráfego de rede pode ser a chave para identificar um ataque em suas fases iniciais, antes que danos irreversíveis sejam causados. O WantToCry serve como um lembrete sombrio de que a paisagem das ameaças digitais está em constante evolução, e a complacência é o maior aliado dos atacantes. Estar um passo à frente significa não apenas reagir a ataques conhecidos, mas antecipar as próximas táticas e tornar-se um alvo menos interessante para os fantasmas da rede.