Il gruppo WantToCry sfrutta credenziali deboli su servizi di condivisione file esposti in rete per sottrarre e cifrare i dati delle vittime senza installare nulla sui loro sistemi. I dispositivi esposti a gennaio 2026 sono stati 1,5 milioni.
Autore: Redazione SecurityOpenLab
Un ransomware che non installa nulla sui sistemi della vittima, non lascia tracce nei log degli antivirus e cifra i file su infrastrutture controllate dall'attaccante prima di riscriverli al loro posto: è il metodo operativo di WantToCry, documentato dal team di ricerca SophosLabs. La campagna non è nuova e il gruppo opera dal dicembre 2023. La novità è la ricostruzione completa della catena di attacco, che mette in luce un approccio capace di aggirare sistematicamente gli strumenti di rilevamento tradizionali e che ha implicazioni dirette per chiunque gestisca infrastrutture di rete con servizi di condivisione file esposti su internet, PMI italiane incluse.
Il punto di ingresso è il protocollo SMB, il sistema che permette ai computer in rete di condividere file, cartelle e risorse come se fossero in locale. È una tecnologia presente in qualsiasi ambiente Windows, diffusissima nelle piccole e medie imprese che la usano per condividere documenti tra postazioni, gestire archivi centralizzati o collegare dispositivi di archiviazione di rete. Quando questo servizio è configurato in modo da essere raggiungibile dall'esterno, senza le dovute restrizioni, diventa il bersaglio ideale.
Gli operatori di WantToCry avviano la ricerca delle potenziali vittime usando le stesse piattaforme come Shodan e Censys, che i team di sicurezza usano legittimamente per mappare la superficie di attacco esposta su Internet. Una scansione condotta il 7 gennaio 2026 mostrava oltre 1,5 milioni di dispositivi con le porte SMB accessibili pubblicamente.
Una volta identificati i bersagli, gli attaccanti avviano tentativi automatizzati di accesso con tecniche di brute force: credenziali come admin/admin, utente/password o le impostazioni di fabbrica dei dispositivi di rete sono quelli su cui questo attacco prospera.
Di norma, un ransomware si installa sul sistema della vittima, cifra i file localmente e lascia impronte che i sistemi di rilevamento possono identificare: processi sospetti in esecuzione, modifiche al file system, comportamenti anomali. WantToCry non fa nulla di tutto ciò.
Dopo aver ottenuto l'accesso tramite credenziali valide, gli attaccanti non installano nulla sul sistema target. Invece, usano la connessione autenticata per copiare i file verso la propria infrastruttura, cifrarli sui propri server e riscriverli al loro posto sul sistema della vittima tramite la stessa connessione. Dal punto di vista del sistema attaccato, si tratta di normale traffico di rete su un servizio di condivisione file, che potrebbe essere opera di un utente legittimo che salva documenti. I file cifrati vengono rinominati con l'estensione .want_to_cry e in ogni cartella coinvolta compare un file di testo con le istruzioni per il pagamento del riscatto.
Il risultato è che gli strumenti di sicurezza basati sull'analisi del comportamento dei processi, sulla firma dei malware e sul monitoraggio delle attività locali rischiano di non rilevare nulla fino al momento in cui è ormai troppo tardi. Le tracce dell’attacco esistono, ma sono di natura diversa: traffico SMB prolungato verso indirizzi IP esterni, operazioni di lettura e scrittura di massa su file condivisi provenienti da connessioni remote, tentativi ripetuti di autenticazione falliti nella fase iniziale. Sono indicatori che richiedono monitoraggio del traffico di rete, oltre alla classica protezione degli endpoint.
Sophos ha ricostruito l'infrastruttura usata negli attacchi osservati: veniva usato un indirizzo IP associato a un provider di hosting russo per la fase di ricognizione e per i tentativi di accesso brute force; cinque indirizzi IP distribuiti tra Russia, Germania, Stati Uniti e Singapore gestivano la fase di cifratura, stabilendo connessioni SMB autenticate per leggere i file, cifrarli e riscriverli. I nomi di due macchine virtuali usate dagli attaccanti sono stati già associati in passato a operazioni di LockBit e BlackCat, due dei gruppi ransomware più noti degli ultimi anni. Più che a un legame diretto con questi gruppi, gli esperti di Sophos reputano che siano state usate macchine virtuali a noleggio.
Le richieste di riscatto sono contenute rispetto agli standard delle grandi operazioni criminali: tra 300 e 1.800 dollari in Bitcoin, con una media intorno ai 600 dollari. Le vittime vengono invitate a contattare gli attaccanti tramite qTox o Telegram. Non ci sono prove di doppie estorsioni, né di movimenti laterali all'interno delle reti colpite: l'attacco sembra circoscritto ai sistemi con SMB esposto, senza ambizioni di espandersi all'intera infrastruttura.
La ricerca di Sophos si concentra sui dati globali e sulla distribuzione geografica dei sistemi esposti, senza nominare l'Italia. Eppure, il profilo di rischio descritto calza a pennello con il tessuto produttivo italiano: le piccole e medie imprese rappresentano oltre il 99% delle imprese attive nel paese, impiegano la gran parte dei lavoratori del settore privato e spesso operano con infrastrutture IT gestite da personale non specializzato o da fornitori esterni che privilegiano la semplicità di configurazione rispetto alla sicurezza. La condivisione di file via SMB con credenziali deboli o invariate dalle impostazioni predefinite è una configurazione comune in ambienti dove nessuno ha mai avuto motivo di metterla in discussione.
Sophos indica alcune misure per mitigare il rischio. La prima è disabilitare SMBv1, la versione più vecchia del protocollo, che è quella sfruttata da WannaCry nel 2017 e ancora presente su molti sistemi non aggiornati. La seconda è bloccare il traffico SMB in ingresso a livello di firewall perimetrale, di modo da impedire che le porte 139 e 445 siano raggiungibili dall'esterno della rete aziendale, dato che non esiste motivo plausibile per cui un servizio di condivisione file interno debba essere accessibile direttamente da Internet. La terza è applicare password complesse e uniche a tutti gli account con accesso alle condivisioni di rete, e verificare che nessun dispositivo usi ancora le credenziali predefinite di fabbrica.
Sul fronte della detection, il monitoraggio del traffico di rete e l'adozione di soluzioni che analizzano il comportamento delle connessioni SMB permettono di identificare i segnali precoci di un attacco in corso, come per esempio i tentativi di autenticazione ripetuti da indirizzi IP esterni, sessioni SMB con volumi anomali di lettura e scrittura, connessioni verso host sconosciuti. I backup, infine, devono essere mantenuti su sistemi non raggiungibili tramite SMB dalla rete di produzione: un backup accessibile via condivisione di rete è un backup che WantToCry può cifrare insieme al resto.