夜雨聆风
最新分析的勒索软件攻击活动彻底颠覆了传统终端防御策略——其整个加密过程无需在本地执行任何恶意代码。Sophos反威胁研究团队深入调查发现,WantToCry对传统终端检测与响应(EDR)平台构成了独特挑战:攻击者利用暴露在互联网的服务器消息块(SMB)文件共享服务,远程静默提取、加密并覆盖目标网络数据。
Part01
无本地执行的攻击范式
Sophos反威胁研究团队在核心情报简报中强调:
"由于WantToCry无需本地恶意软件执行即可运作,且除窃取文件并重写磁盘外无其他入侵后活动,其检测面大幅缩小。"
攻击者刻意选用这个名称,意在影射2017年肆虐全球网络的WannaCry勒索蠕虫。但Sophos分析师指出,两者的运作基础截然不同——旧版利用核心代码漏洞实现自我传播,而WantToCry完全依赖扫描和认证暴力破解开辟入侵路径。
Part02
三阶段攻击闭环
攻击流程绕过了典型的入侵后网络定位,形成从初始访问到数据加密的紧密闭环:
侦查阶段:通过大规模互联网扫描基础设施,探测开放SMB端口TCP/139和TCP/445的主机
暴力破解:自动化脚本持续攻击暴露端口,测试默认或弱密码直至获取有效凭证
远程置换:认证成功后,攻击者控制远程服务器接管SMB会话,系统性发起文件读取请求,在其本地硬件加密后,再通过写入命令将密文回传至受害者存储设备
由于未执行非常规二进制文件、未修改注册表且无异常系统进程,本地反恶意软件工具对网络文件共享中的破坏活动完全无感知。
Part03
基础设施溯源
Sophos追踪到攻击活动涉及德国、俄罗斯、美国和新加坡的五个全球分布式IP地址。取证分析发现两个反复出现的计算机名(WIN-J9D866ESIJ2和WIN-LIVFRVQFMKO)驱动着自动化文件写入操作,这些虚拟机最初由正规IT基础设施提供商ISPsystem出租,后被恶意防弹托管中介转租。
Part04
异常低廉的赎金
完成文件置换后,恶意软件会留下赎金票据,指示受害者通过临时qTox或Telegram通道获取比特币钱包信息。值得注意的是,赎金金额异常低廉——每起事件固定索要600美元。Sophos指出,这与动辄数百万美元的企业勒索形成鲜明对比,直接反映出"勒索软件部署范围的局限性",因为加密通常仅针对直接暴露SMB服务的单一设备。
参考来源:
WantToCry Ransomware Leverages Exposed SMB for Remote Encryption Loops
https://securityonline.info/wanttocry-remote-ransomware-smb-brute-force-no-local-code/
电报讨论
