Los intentos de fuerza bruta pueden ser indicios tempranos de un ataque.
Analistas de SophosLabs investigaron los ataques del Ransomware WantToCry, en que los autores de la amenaza aprovechan SMB para obtener acceso inicial, y posteriormente, extraer archivos a una infraestructura controlada por los atacantes para cifrarlos de forma remota. La superficie de detección se reduce significativamente porque WantToCry opera sin ejecución local de malware, y no hay actividad posterior al compromiso más allá de la extracción de archivos y su reescritura en el disco.
Su nombre parece hacer referencia al famoso gusano de Ransomware WannaCry (también conocido como WCry), que se propagó a través de una vulnerabilidad en SMB a principios de 2017. Aunque WantToCry no se propaga por sí mismo y no hay pruebas que sugieran que ambas operaciones estén relacionadas, las organizaciones con servicios SMB expuestos a Internet corren un riesgo similar.
Al analizar los ataques de WantToCry, los analistas de SophosLabs determinaron cómo los atacantes identificaban a las víctimas potenciales mediante reconocimiento, accedían a las redes aprovechando servicios SMB vulnerables que dependían de una autenticación débil, utilizaban el mismo protocolo para exfiltrar archivos a la infraestructura controlada por los atacantes, implementaban el cifrado remoto, volvían a utilizar SMB para reescribir los archivos cifrados en el host local y entregaban una nota de rescate exigiendo el pago. Los analistas también trazaron un mapa de parte de la infraestructura utilizada en las campañas.
Identificación de víctimas potenciales
WantToCry identifica a las víctimas potenciales escaneando Internet en busca de puertos SMB abiertos. Es probable que los autores de la amenaza utilicen los mismos servicios de reconocimiento que los equipos de seguridad legítimos. Servicios como Shodan y Censys escanean continuamente los sistemas conectados a Internet, creando bases de datos fácilmente accesibles de servicios expuestos que los atacantes pueden aprovechar para la selección de objetivos. A fecha de 7 de enero de 2026, Shodan identificó más de 1,5 millones de dispositivos que tenían puertos utilizados por SMB (puertos TCP 139 y 445) expuestos a Internet.
A continuación, los operadores intentan acceder a las redes de los objetivos. Tras autenticarse con éxito utilizando credenciales comprometidas o débiles, los atacantes iniciaron la exfiltración de archivos a través de sesiones SMB autenticadas.
En cada incidente, el atacante exigió un rescate de 600 dólares a cambio de las claves necesarias para descifrar los archivos. En otras notas de rescate divulgadas públicamente, las exigencias oscilaron entre 400 y 1.800 dólares. Estas cantidades son bajas en comparación con las exigencias de rescate tradicionales y probablemente reflejan el alcance limitado del despliegue del Ransomware.
Retos de detección
Las protecciones de detección y respuesta en endpoints (EDR) y las soluciones antivirus se enfrentan a retos a la hora de hacer frente a la metodología utilizada en los ataques de WantToCry. Estos sistemas suelen basarse en indicadores basados en procesos, análisis de comportamiento de las aplicaciones en ejecución e identificación de firmas de malware conocidas. Dado que WantToCry opera sin ejecución de código local, no hay procesos sospechosos asociados que analizar ni archivos maliciosos que identificar.
Además, las herramientas de seguridad suelen clasificar las operaciones de archivos realizadas a través del protocolo SMB como comportamiento normal del sistema, en lugar de como actividad potencialmente amenazante. Sin embargo, las herramientas que supervisan los cambios en el contenido de los archivos, como Sophos CryptoGuard, detectan la actividad de cifrado independientemente de su origen, en lugar de intentar identificar procesos maliciosos o patrones de comportamiento.
Conclusión
Al igual que con toda actividad de ransomware, la prevención sigue siendo clave para mitigar la amenaza de operaciones de ransomware remotas como WantToCry. Las medidas preventivas incluyen desactivar el protocolo SMBv1 en toda la organización, eliminar el acceso SMB «invitado» o anónimo, y bloquear el tráfico SMB entrante (puertos TCP/139 y TCP/445) en todos los firewalls expuestos a Internet. Además, es importante garantizar que no se pueda acceder a las copias de seguridad a través de protocolos SMB.
Las organizaciones también deben implementar controles a nivel de red y supervisión del contenido de los archivos para hacer frente a esta metodología de ataque de forma eficaz. Una herramienta como Sophos CryptoGuard puede identificar, bloquear y revertir la actividad de cifrado realizada a través de protocolos SMB.
WantToCry se basa en la autenticación débil y la exposición a Internet, más que en vulnerabilidades de software o mecanismos de distribución de malware. Las soluciones de detección y respuesta ampliadas (XDR) pueden identificar intentos de reconocimiento y de fuerza bruta contra los servicios SMB, proporcionando alertas tempranas de posibles operaciones de WantToCry.
