Uma nova técnica chamada GhostLock demonstra como invasores podem paralisar compartilhamentos de arquivos do Windows sem criptografar dados, simulando o impacto operacional de um ataque de ransomware. O método explora comportamentos legítimos do SMB e do sistema operacional, sem depender de uma falha com CVE.
A técnica foi descrita por Kim Dvash, e mostra que um usuário comum de domínio, com acesso de leitura a arquivos compartilhados, pode bloquear o uso de grandes volumes de dados corporativos.
O GhostLock usa a API CreateFileW com o parâmetro dwShareMode definido como zero. Isso cria um bloqueio exclusivo no arquivo e impede que outros processos ou usuários abram, leiam, editem ou excluam o item enquanto o handle permanecer ativo.
Do ponto de vista da vítima, o efeito pode parecer idêntico ao de um ransomware. Arquivos críticos deixam de abrir, aplicações de ERP podem falhar e fluxos de trabalho baseados em compartilhamentos de rede ficam indisponíveis, exigindo intervenção técnica para restaurar o acesso.
Em testes isolados, a técnica conseguiu localizar 500 mil arquivos em pouco mais de seis minutos e aplicar bloqueios em cerca de dois minutos e meio, com taxa de sucesso de 99,6%. Uma única sessão SMB pode manter até 64 mil handles exclusivos simultâneos.
Segundo a pesquisa, o melhor sinal de detecção está no próprio NAS: a contagem de handles exclusivos mantidos por sessão SMB. Aplicações legítimas raramente acumulam centenas ou milhares desses bloqueios ao mesmo tempo.
