GhostLock: un nuovo metodo per bloccare i file Windows senza cifratura

Una nuova minaccia in arrivo

Negli ultimi mesi è emersa una nuova metodologia di attacco che potrebbe mettere in allerta le aziende e gli utenti Windows: si chiama GhostLock. Questo strumento non utilizza la cifratura tipica dei ransomware per rendere inaccessibili i file, ma sfrutta una funzione legittima del sistema operativo per occupare i dati, rendendoli temporaneamente irraggiungibili. Questa tecnica, sebbene apparentemente innocua, può avere ripercussioni significative in contesti aziendali, poiché documenti e cartelle condivise possono diventare inaccessibili per tutti gli utenti e le applicazioni coinvolte.

Come funziona GhostLock?

Il funzionamento di GhostLock si basa sull’API CreateFileW e sul parametro dwShareMode. Quando un file viene aperto con modalità di condivisione impostata a zero, Windows assegna un accesso esclusivo a quel file, impedendo ad altri processi di aprirlo fino a che l’handle rimane attivo. Kim Dvash, un ricercatore di Israel Aerospace Industries, ha sviluppato uno strumento in grado di automatizzare questo processo su un gran numero di file, anche all’interno delle condivisioni SMB. Ciò significa che, da un semplice computer su una rete aziendale, un attaccante può fare in modo che i file vengano occupati, rendendo difficoltoso l’accesso per gli altri.

Un aspetto critico di questo attacco è che può essere realizzato anche da utenti normali, senza necessità di privilegi amministrativi. Se l’operazione avviene da più dispositivi vulnerabili e gli handle continuano a essere riaperti, l’interruzione del servizio potrebbe diventare complessa da gestire. Solo quando la sessione SMB è interrotta o il sistema viene riavviato, Windows permette di liberare gli handle e ripristinare l’accesso ai file.

L’impatto sulle aziende italiane

Per le aziende italiane, il rischio non è tanto la perdita di dati, quanto il tempo in cui essi restano inaccessibili. Immaginate una grande azienda che si trova a non poter accedere ai propri documenti condivisi per ore: questo porterebbe a ritardi, confusione e sopratutto un significativo impatto sulla produttività. Anche se GhostLock non cifra i file, le conseguenze pratiche possono essere equivalenti a un attacco ransomware in termini di interruzione operativa. Inoltre, durante una compromissione, questo comportamento potrebbe mascherare attività più invasive, come l’esfiltrazione di dati o l’abuso di account con privilegi elevati.

Difficoltà di rilevamento e strategie di difesa

Identificare un attacco basato su GhostLock non è semplice. La maggior parte dei sistemi di rilevamento (EDR) si concentra su comportamenti di scrittura massiva o cifratura anomala, mentre GhostLock genera aperture legittime di file. L’unico segnale affidabile, stando alle ricerche, è il numero esorbitante di file aperti in una sessione con ShareAccess=0, informazione che solitamente non è registrata nei log di Windows, ma può essere trovata negli strumenti di gestione dello storage.

Le contromisure necessarie dovrebbero includere un monitoraggio attento dei file server, limiti sui comportamenti anomali da parte degli utenti e l’adozione di regole personalizzate per sistemi SIEM o NDR basate sui modelli di apertura esclusiva. I team IT dovrebbero considerare GhostLock non come un nuovo tipo di ransomware, ma come una potenziale tecnica di interruzione da utilizzare in un contesto di attacco più ampio, ottimizzando così le priorità e le strategie di risposta.

Conclusione

La diffusione di tecniche come GhostLock sottolinea l’importanza di una vigilanza costante nella sicurezza IT. Le aziende italiane devono essere pronte a adattare le loro misure di protezione a queste nuove minacce, puntando su un approccio più dinamico e mirato. Solo così potranno proteggere efficacemente i propri dati e garantire la continuità operativa.