WantToCry ransomware là một biến thể ransomware nhắm vào doanh nghiệp bằng cách lạm dụng giao thức chia sẻ tệp SMB để mã hóa dữ liệu từ xa, mà không cần thả mã độc trực tiếp trên hệ thống nạn nhân. Mô hình này làm thay đổi đáng kể cách vận hành của cuộc tấn công mạng, vì bề mặt phát hiện trên endpoint bị thu hẹp rõ rệt.
WantToCry Ransomware Lạm Dụng SMB
Khác với các chiến dịch mã độc ransomware truyền thống, WantToCry không cần thực thi payload cục bộ. Kẻ tấn công truy cập vào dịch vụ SMB đang mở, lấy tệp từ máy nạn nhân thông qua phiên xác thực hợp lệ, mã hóa trên hạ tầng do chúng kiểm soát, sau đó ghi lại các tệp đã mã hóa về vị trí ban đầu.
Trong quá trình này, hệ thống nạn nhân không xuất hiện tiến trình khả nghi hay phần mềm lạ được cài đặt. Do đó, các công cụ phát hiện dựa trên hành vi tiến trình hoặc chữ ký malware thường khó ghi nhận dấu hiệu xâm nhập.
Điểm khác biệt trong chuỗi tấn công
- Không thả mã độc lên máy đích.
- Mã hóa diễn ra ngoài hệ thống nạn nhân.
- Chỉ sử dụng phiên SMB đã xác thực để đọc và ghi tệp.
- Khó phát hiện bằng EDR dựa trên process execution.
Cách Hoạt Động Của WantToCry Ransomware
Theo phân tích từ Sophos, tác nhân đe dọa bắt đầu bằng việc quét Internet để tìm các hệ thống có SMB mở trên TCP 139 và TCP 445. Các công cụ như Shodan và Censys được dùng để lập danh sách mục tiêu lộ diện công khai.
Sau đó, chúng thực hiện brute-force vào dịch vụ SMB nhằm khai thác mật khẩu yếu hoặc thông tin đăng nhập đã bị lộ. Một khi truy cập thành công, dữ liệu sẽ bị sao chép ra ngoài để mã hóa từ xa.
Để tham khảo thêm về dịch vụ SMB và các rủi ro liên quan, có thể xem tài liệu của Microsoft tại: https://learn.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3
Chuỗi thực thi tấn công
- Quét Internet để tìm SMB công khai.
- Brute-force vào dịch vụ SMB.
- Truy cập phiên SMB hợp lệ.
- Sao chép tệp ra hạ tầng do kẻ tấn công kiểm soát.
- Mã hóa tệp bên ngoài hệ thống nạn nhân.
- Ghi lại tệp đã mã hóa về vị trí ban đầu.
Ảnh Hưởng Hệ Thống Và Dấu Hiệu Nhận Biết
Chiến dịch WantToCry ransomware gây ảnh hưởng bằng cách làm tệp không thể sử dụng và tạo áp lực đòi tiền chuộc. Tệp bị đổi đuôi thành .want_to_cry, đồng thời file ghi chú đòi tiền !Want_To_Cry.txt được thả vào các thư mục bị ảnh hưởng.
Mức tiền chuộc được ghi nhận dao động từ 400 USD đến 1.800 USD mỗi nạn nhân. Ở các trường hợp quan sát được, yêu cầu thanh toán thường là 600 USD và được thực hiện bằng Bitcoin.
Vì không có mã độc chạy cục bộ, hệ thống có thể không ghi nhận sự kiện thực thi đáng chú ý. Dấu vết chủ yếu nằm ở lưu lượng SMB bất thường và thay đổi nội dung tệp diễn ra hàng loạt.
Dấu hiệu kỹ thuật có thể quan sát
- Lưu lượng SMB đọc/ghi tăng mạnh từ địa chỉ IP bên ngoài.
- Hoạt động sao chép tệp với khối lượng lớn ngoài giờ làm việc.
- Tệp bị đổi tên với phần mở rộng .want_to_cry.
- Xuất hiện tệp đòi tiền chuộc !Want_To_Cry.txt.
- Các phiên SMB brute-force trước khi xảy ra mã hóa.
Quy Mô Phơi Lộ SMB Và Rủi Ro Bảo Mật
Điểm đáng chú ý của cảnh báo CVE hay các chiến dịch ransomware kiểu này là mức độ phơi lộ dịch vụ. Tính đến ngày 7/1/2026, hơn 1,5 triệu thiết bị được ghi nhận đang để SMB trên TCP 139 và TCP 445 mở ra Internet.
Bất kỳ hệ thống nào trong số này đều có thể trở thành mục tiêu nếu thông tin xác thực yếu, dùng lại mật khẩu, hoặc đã bị lộ từ trước. Trong bối cảnh đó, rủi ro bảo mật không chỉ đến từ lỗ hổng phần mềm mà còn từ cấu hình dịch vụ và quản trị truy cập chưa chặt chẽ.
Đây là một ví dụ điển hình của mối đe dọa mạng lợi dụng dịch vụ hợp pháp để thực hiện mã hóa dữ liệu từ xa, khiến các lớp phòng thủ truyền thống khó phân biệt với lưu lượng bình thường.
IOC Và Chỉ Báo Liên Quan
Nội dung gốc chỉ nêu IOC ở mức mô tả hành vi, không cung cấp danh sách IP, domain hoặc hash cụ thể. Do đó, IOC có thể trích xuất như sau:
- Phần mở rộng tệp: .want_to_cry
- Ransom note: !Want_To_Cry.txt
- Dịch vụ bị lạm dụng: SMB
- Cổng bị khai thác: TCP 139, TCP 445
- Hành vi: brute-force SMB, sao chép tệp qua phiên SMB, mã hóa ngoài hệ thống
Biện Pháp Phòng Ngừa Trên Hệ Thống SMB
Biện pháp giảm thiểu trọng tâm là loại bỏ khả năng truy cập SMB từ Internet và giảm bề mặt tấn công của mối đe dọa này. Các tổ chức nên vô hiệu hóa SMBv1, chặn lưu lượng vào trên cổng 139 và 445 tại firewall biên, đồng thời loại bỏ quyền guest hoặc anonymous SMB access.
Backups cũng cần được tách khỏi truy cập SMB để tránh bị ảnh hưởng khi phiên SMB bị chiếm dụng. Các công cụ EDR/XDR có khả năng phát hiện reconnaissance và brute-force trên SMB sẽ hữu ích ở giai đoạn sớm.
Khuyến nghị cấu hình và giám sát
- Vô hiệu hóa SMBv1 trên toàn bộ hệ thống còn hỗ trợ.
- Chặn inbound SMB ở firewall Internet-facing.
- Không công khai SMB ra Internet.
- Loại bỏ guest/anonymous access.
- Tách backup khỏi truy cập SMB.
- Giám sát brute-force và truy cập SMB bất thường.
Phát Hiện Xâm Nhập Và Giám Sát Lưu Lượng SMB
Vì WantToCry ransomware không chạy mã độc cục bộ, phát hiện xâm nhập cần ưu tiên ở tầng mạng và hành vi file. Các hệ thống giám sát nên tập trung vào tốc độ đọc/ghi SMB bất thường, nguồn truy cập từ IP ngoài tổ chức, và sự gia tăng đột ngột của các phiên xác thực thất bại.
Giải pháp theo dõi nội dung tệp, phát hiện thay đổi hàng loạt và phát hiện mã hóa bất kể nguồn gốc sẽ tạo ra lớp phòng thủ tốt hơn so với chỉ dựa vào chữ ký tiến trình. Đây là điểm then chốt để phát hiện cuộc tấn công ransomware kiểu mã hóa từ xa.
Logic giám sát thực tế
if smb_connection.from_external_ip and
smb_write_activity.is_sustained and
file_rename_pattern.matches("*.want_to_cry") then
raise_alert("Suspected WantToCry ransomware activity")
end ifKhả Năng Phát Hiện Sớm Qua Brute-Force SMB
Brute-force vào SMB thường xuất hiện trước khi dữ liệu bị mã hóa. Vì vậy, các sự kiện đăng nhập thất bại liên tiếp, đặc biệt trên dịch vụ công khai, có thể được xem là chỉ dấu sớm của xâm nhập mạng.
Trong môi trường có giám sát tốt, các cảnh báo từ firewall, IDS hoặc XDR về quét cổng, thử đăng nhập và phiên SMB bất thường nên được ưu tiên xử lý ngay để ngăn việc chuyển sang giai đoạn mã hóa.
Tham Chiếu Kỹ Thuật
Báo cáo phân tích kỹ thuật về WantToCry ransomware có thể được tham khảo tại Sophos: https://www.sophos.com/en-us/blog/wanttocry-ransomware-remotely-encrypts-files
