Uma nova técnica de ataque baseada numa ferramenta de prova de conceito, denominada GhostLock, está a expor como uma simples API legítima do Windows pode ser manipulada para bloquear o acesso a ficheiros locais ou partilhados na rede. A descoberta partiu do investigador Kim Dvash, da Israel Aerospace Industries, e acende um novo alerta sobre interrupções operacionais silenciosas nas empresas.
Segundo a documentação partilhada no site oficial do projeto, a ferramenta não destrói dados como o ransomware tradicional, mas foca-se em causar disrupção e tempo de inatividade. O maior perigo reside no facto de o ataque poder ser executado por utilizadores com permissões normais, dispensando qualquer tipo de privilégios de administrador no sistema.
Como funciona a exclusividade da API
A técnica tira partido da função nativa CreateFileW do Windows, especificamente através do abuso do parâmetro dwShareMode. Este componente dita o nível de acesso que outros processos podem ter a um documento enquanto este permanece aberto.
Quando um atacante configura este parâmetro para zero (dwShareMode = 0), o sistema operativo concede ao processo um acesso totalmente exclusivo. Na prática, isto significa que qualquer outra aplicação ou utilizador que tente abrir o mesmo documento irá deparar-se com um erro de violação de partilha (STATUS_SHARING_VIOLATION), ficando impedido de visualizar ou editar o conteúdo enquanto a ligação original for mantida.
A ferramenta GhostLock automatiza este processo ao abrir recursivamente centenas de ficheiros partilhados em redes SMB. O impacto pode ser amplificado se os atacantes coordenarem a investida a partir de vários computadores comprometidos em simultâneo, reabrindo as ligações mal os processos anteriores sejam encerrados.
Um chamariz perfeito para ataques complexos
Apesar de a técnica se assemelhar a um ataque de negação de serviço (DoS), o seu verdadeiro valor para os cibercriminosos pode estar na camuflagem. Ao gerar o caos no acesso aos documentos diários de uma organização, os atacantes conseguem facilmente sobrecarregar as equipas de suporte informático. Este momento de distração cria a janela de oportunidade ideal para movimentações laterais na rede ou roubo de dados confidenciais noutras áreas da infraestrutura.
O investigador alerta ainda que a maioria dos softwares de segurança e sistemas de deteção comportamental estão focados na encriptação ou na escrita massiva no disco. Como o GhostLock se limita a gerar pedidos legítimos de leitura, passa facilmente despercebido aos radares das ferramentas tradicionais de proteção.
A boa notícia para as empresas é que o bloqueio não é permanente. Uma vez que a sessão SMB seja cortada, os processos da ferramenta terminados, ou o servidor reiniciado, o Windows liberta automaticamente os ficheiros e o acesso normal é restabelecido. Para ajudar na mitigação, Dvash disponibilizou regras de deteção específicas para equipas de administração de sistemas poderem identificar atempadamente este padrão anómalo nas suas redes.
(TT)