La falta de control sobre los archivos que guardas en tus dispositivos representa uno de los problemas de seguridad más críticos que puedes enfrentar. En este artículo, abordamos una nueva investigación que ha revelado una herramienta maliciosa capaz de restringir el acceso a los archivos en Windows. Se llama GhostLock y utiliza la API de Windows para bloquear el acceso a documentos.
Esta amenaza fue identificada por un investigador de seguridad de Zenodo, como se detalla en la publicación en su sitio web. Según explica, esta técnica se basa en la API ‘CreateFileW‘ de Windows y en los modos de uso compartido de archivos, lo que impide que otros usuarios y aplicaciones accedan a archivos mientras los identificadores estén activos.
Nueva estrategia para bloquear archivos
GhostLock es una prueba de concepto, lo que significa que es una demostración técnica de cómo funciona una herramienta. No es un malware en funcionamiento, por lo que no representa una amenaza de ataques masivos a los usuarios de Windows en este momento. Sin embargo, ilustra la posibilidad de que los hackers puedan realizar ataques de este tipo.
El investigador ha revelado que ciertas APIs legítimas de Windows podrían ser explotadas para bloquear archivos, restringiendo el acceso de los usuarios y afectando también a recursos compartidos SMB en red. En particular, se aprovecha del parámetro ‘dwShareMode‘ en la función CreateFileW(), que define el tipo de acceso que otros procesos tienen al archivo mientras está abierto.
Según este investigador, al abrir un archivo con ‘dwShareMode = 0’, Windows concede al proceso acceso exclusivo, lo que impide que otros usuarios o aplicaciones puedan abrirlo. Esta herramienta, para quienes deseen probarla, está disponible en GitHub.
Es importante tener en cuenta que esta herramienta puede ser ejecutada por usuarios sin privilegios elevados, lo que agrava el problema.
No se trata de un ataque destructivo
El investigador de seguridad, como menciona el medio especializado Bleeping Computer, aclara que esta técnica no es destructiva, a diferencia de un ransomware. En cambio, se considera un ataque de interrupción, que puede causar que los usuarios no puedan acceder a sus archivos de manera habitual.
No obstante, los atacantes podrían utilizar esta técnica para aprovechar la interrupción del servicio, robando datos, realizando movimientos laterales y llevando a cabo otras actividades maliciosas que comprometan la seguridad.
En términos de detección, el investigador señala que no es una tarea sencilla. GhostLock puede generar numerosas solicitudes de apertura de archivos legítimas, lo que le permite eludir las medidas de seguridad y no ser detectado.
Esto podría impactar a empresas que usen carpetas compartidas SMB, servidores de oficina, proyectos colaborativos y bases de datos. Un atacante podría bloquear todo este acceso. Incluso los usuarios domésticos podrían verse afectados, como por ejemplo, al intentar abrir documentos que no responden o que muestran errores de acceso.
Es fundamental mantener los dispositivos actualizados, utilizar un antivirus eficaz y limitar la exposición a amenazas. La precaución y el sentido común son esenciales para evitar errores que puedan perjudicar el funcionamiento de los equipos.
Preguntas frecuentes
¿Es esto un malware?
No, no se considera un malware. Es una técnica que los atacantes podrían utilizar para bloquear archivos.
¿Hay prueba de concepto disponible?
Sí, el investigador ha hecho pública una prueba de concepto para ilustrar su descubrimiento.
