A WatchGuard emitiu um alerta sobre a exploração ativa de uma nova campanha de ransomware conhecida como “Sorry Worm”, que combina criptografia de arquivos com mecanismos automatizados de propagação em redes corporativas.
A ameaça está associada à vulnerabilidade crítica CVE-2026-41940, identificada em plataformas de administração de servidores web como cPanel e WebHost Manager (WHM). Segundo a análise da companhia, a falha permite a execução remota de código em sistemas não atualizados, sendo utilizada por agentes maliciosos para obter acesso inicial a ambientes expostos à internet.
Exploração automatizada amplia riscos
De acordo com a WatchGuard, o “Sorry Worm” se diferencia por operar como um ransomware do tipo worm, integrando em um único fluxo operacional a exploração da vulnerabilidade, a criptografia de arquivos e a tentativa de movimentação lateral dentro da rede.
O malware foi desenvolvido em Golang e utiliza criptografia híbrida baseada em AES e RSA para bloquear arquivos, alterando as extensões com o sufixo “.sorry”. Além disso, incorpora mecanismos automatizados de força bruta via SSH, ampliando sua capacidade de propagação em servidores comprometidos.
Ambientes desatualizados seguem vulneráveis
A vulnerabilidade CVE-2026-41940 foi corrigida pelos fornecedores logo após sua divulgação, com a disponibilização de patches de segurança e orientações de mitigação. No entanto, a WatchGuard destaca que ambientes não atualizados permanecem altamente expostos à exploração automatizada, principalmente quando serviços administrativos estão acessíveis diretamente pela internet.
Segundo especialistas do Threat Lab da WatchGuard, a principal preocupação está na velocidade de disseminação do ataque. Ao combinar exploração de falhas críticas com automação de movimentação lateral, o “Sorry Worm” reduz significativamente a janela de resposta das equipes de segurança.
“O cenário observado com o Sorry Worm demonstra uma evolução clara no comportamento de ransomware, que passa a integrar exploração automatizada de vulnerabilidades e propagação em rede em um único fluxo operacional. Isso amplia o impacto de uma única falha não corrigida.”
Recomendações de segurança
A empresa recomenda que organizações priorizem a aplicação imediata de atualizações de segurança, especialmente em sistemas expostos à internet, além da restrição de acesso a interfaces administrativas como WHM e SSH.
Entre as medidas adicionais indicadas estão a adoção de autenticação multifator, segmentação de rede e monitoramento contínuo de comportamento para identificação de atividades anômalas.
A WatchGuard reforça ainda que estratégias de detecção e resposta baseadas em comportamento são essenciais para conter ameaças que combinam exploração de vulnerabilidades e propagação automatizada.
