Um pesquisador de segurança lançou uma ferramenta chamada GhostLock, que demonstra como a API de arquivos do Windows pode ser explorada para bloquear o acesso a arquivos armazenados localmente ou em compartilhamentos de rede SMB. A técnica, desenvolvida por Kim Dvash da Israel Aerospace Industries, utiliza a função ‘CreateFileW’ e o parâmetro ‘dwShareMode’ para garantir acesso exclusivo a arquivos, impedindo que outros usuários ou aplicações os abram. A ferramenta automatiza o ataque, abrindo recursivamente um grande número de arquivos em compartilhamentos SMB, resultando em falhas de acesso com o erro ‘STATUS_SHARING_VIOLATION’. O ataque pode ser realizado por usuários comuns de domínio, sem necessidade de privilégios elevados, e se torna mais eficaz se executado a partir de múltiplos dispositivos comprometidos. Dvash classifica a técnica como um ataque de interrupção, semelhante a um ataque de negação de serviço, que pode ser usado como uma distração durante intrusões. Embora a técnica não cause perda de dados, ela pode sobrecarregar as equipes de TI, permitindo que atacantes realizem atividades maliciosas em outras partes do ambiente. O pesquisador também forneceu consultas SIEM e regras de detecção para ajudar as equipes de segurança a identificar esse tipo de ataque.
Fonte: https://www.bleepingcomputer.com/news/security/new-ghostlock-tool-abuses-windows-api-to-block-file-access/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
11/05/2026 • Risco: ALTO
ATAQUE
GhostLock: nova técnica de ataque bloqueia acesso a arquivos no Windows
RESUMO EXECUTIVO
O GhostLock representa uma nova forma de ataque que pode ser utilizada para desviar a atenção das equipes de segurança enquanto outras atividades maliciosas ocorrem. A técnica é particularmente preocupante devido à sua capacidade de ser executada por usuários comuns e à dificuldade de detecção, exigindo que as organizações revisem suas práticas de monitoramento e resposta a incidentes.
💼 IMPACTO DE NEGÓCIO
Financeiro
Custos associados à interrupção das operações e à resposta a incidentes.
Operacional
Interrupção do acesso a arquivos, causando sobrecarga nas equipes de TI.
Setores vulneráveis
['Setores de tecnologia, finanças e qualquer organização que utilize SMB.']
📊 INDICADORES CHAVE
A técnica pode ser executada por usuários comuns sem privilégios elevados.
Indicador
O ataque pode ser amplificado se realizado a partir de múltiplos dispositivos.
Contexto BR
A única observação confiável para identificar o ataque é a contagem de arquivos abertos por sessão com ShareAccess = 0.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar logs de acesso a arquivos e contagem de arquivos abertos em servidores SMB.
2
Implementar restrições de acesso e monitoramento em compartilhamentos de arquivos críticos.
3
Monitorar continuamente a contagem de arquivos abertos e tentativas de acesso a arquivos com ShareAccess = 0.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a possibilidade de interrupções operacionais que podem impactar a produtividade e a segurança da informação.
⚖️ COMPLIANCE
Implicações para a conformidade com a LGPD, especialmente em relação ao acesso a dados sensíveis.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
