Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
3629
)
-
▼
mayo
(Total:
326
)
-
ShinyHunters vulnera Canvas LMS mediante programa ...
-
Ataque GhostLock usa archivos compartidos de Windo...
-
Hacker controla robot cortacésped a distancia
-
ICO multa con 963.000 libras a South Staffordshire...
-
RPCS3 critica la IA y pide programar código real
-
Guía completa de Neo Geo AES+
-
Alerta por RAM DDR5 falsa
-
El troyano bancario TrickMo para Android emplea la...
-
Malware Vidar roba credenciales, cookies, carteras...
-
Actualización de Google reCAPTCHA bloquea usuarios...
-
Noctua muestra el nuevo NF-A12x25 G2 chromax.black...
-
Malware de macOS usa anuncios de Google y chats de...
-
Intel terminará con sus CPU híbridas en 2028: Copp...
-
Un simulador de eclipses solares para ver cómo ser...
-
Claude Mythos: la IA restringida de Anthropic
-
Retrete para coches ya es una realidad en China
-
Herramientas de cifrado de disco
-
Herramientas interactivas de análisis de malware
-
IA envía tarjetas de cumpleaños escritas a mano
-
IA superará el coste laboral para 2026
-
Passkeys: el sustituto seguro de las contraseñas
-
Musk enfrenta cargos por no testificar en Francia
-
Outlook se renueva con IA y calendario inteligente
-
Desmantelamiento de red criminal expone a 22.000 u...
-
Intel lanza NAS con IA y Core Ultra 3
-
Siguen aumentando las estafas de módulos RAM DDR5 ...
-
Bloquea descargas de IA en Chrome y Edge
-
ChatGPT falla en el idioma chino y desespera a usu...
-
China consiguió los mejores chips de IA de NVIDIA ...
-
Vulnerabilidad de lectura fuera de límites en Olla...
-
IA encarece red eléctrica en Maryland
-
Funciones clave de Claude Code y Opus 4.7
-
Cloudflare recorta personal por IA y cae en bolsa
-
Elon Musk visita la fábrica de Intel Oregón: ¿Hará...
-
Microsoft cambiaría los sonidos de Windows 11
-
Firefox corrige fallos en PDF y videollamadas
-
Instagram quita el cifrado a sus mensajes privados
-
Más vulnerabilidades en cPanel y WHM
-
Sonidos de bienvenida: 50 años de nostalgia web
-
Intel y Apple volverían a unir sus caminos, aunque...
-
Repositorio falso de OpenAI en Hugging Face distri...
-
Mozilla soluciona 271 vulnerabilidades en Firefox ...
-
Microsoft acelerará Windows 11 un 40% con el modo LLP
-
Nintendo encarece Switch 2 pese a la caída de PS5
-
IA podría reducir costes de GTA 6
-
Malware TCLBANKER ataca usuarios mediante gusanos ...
-
El Archivo de Internet de Suiza: otra copia de seg...
-
cPanel y WHM lanzan correcciones para tres nuevas ...
-
Windows 11 mantiene código de los 90
-
Let’s Encrypt detiene emisión de certificados por ...
-
Vulnerabilidades críticas de Microsoft 365 Copilot...
-
Filtración de datos de NVIDIA expone información d...
-
SK Hynix ya no vende solo memoria, vende supervive...
-
Codex ya controla Chrome en Mac y Windows
-
Cómo saber si mi conexión a Internet tiene buen pi...
-
Falso instalador de OpenClaw para robar criptomone...
-
JDownloader ha confirmado que su web fue hackeada
-
Despliegan RAT modular que roba credenciales y cap...
-
TCLBANKER: el troyano bancario que ataca plataform...
-
Incidente de seguridad en Škoda expone datos de cl...
-
GeForce GTX serie 10: diez años de Pascal
-
Aplicaciones de historial de llamadas falsas estaf...
-
Arm creará una CPU bestial de 500 núcleos para gan...
-
ChatGPT y su impacto en el cerebro
-
UE facilitará cancelaciones online desde 2026
-
AMD Instinct MI430X, un acelerador diseñado para i...
-
Falsos técnicos informáticos acaban en prisión por...
-
Alerta por web falsa de Claude con malware
-
Batería cuántica: carga en un segundo y dura una s...
-
Samsung y SK Hynix buscan el futuro de la DRAM por...
-
Micron lanza el SSD más grande del mundo de 245 TB
-
JDownloader distribuyó malware en Windows 11 y Linux
-
Las placas base son el nuevo componente en riesgo
-
Un ciberataque global que afecta a universidades e...
-
Meta da marcha atrás con el cifrado de Instagram y...
-
Quasar Linux RAT roba credenciales de desarrollado...
-
ChatGPT avisará a un contacto de confianza en situ...
-
NVIDIA llevará mini centros de IA a los hogares
-
Excontratista del gobierno, condenado por borrar d...
-
Nuevo backdoor PamDOORa para Linux emplea módulos ...
-
China pretende fabricar más del 70% de sus obleas ...
-
Gen Z prefiere microalquileres a suscripciones
-
IA: Todos seremos jefes
-
Google lanza nueva IA para competir con OpenAI
-
Campaña de extorsión de ShinyHunters logra hackear...
-
Snapdragon 6 Gen 5 y 4 Gen 5: mayor fluidez y rapi...
-
Aphelion, un juego de aventuras de ciencia ficción...
-
Spotify integra podcasts generados por IA
-
Fitbit desaparece y pasa a Google Health
-
Google renueva sus búsquedas con cinco funciones d...
-
Filtración de datos en Zara expone información per...
-
DIGI define quién recibirá el router WiFi 7
-
Fitbit Air: la pulsera sin pantalla de Google
-
Sensores de neumáticos permiten hackear coches
-
Anthropic usa Colossus de SpaceX para potenciar Cl...
-
Exploit de Dirty Frag en el kernel de Linux permit...
-
Explotan vulnerabilidad RCE de PAN-OS para obtener...
-
Samsung lanza One UI 8.5
-
OpenAI lanza GPT-5.5 Instant como modelo predeterm...
-
Cambridge desarrolla tecnología láser que alcanza ...
-
-
▼
mayo
(Total:
326
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Noctua presenta el nuevo ventilador NF-A12x25 G2 chromax.black , que combina un diseño elegante en negro con la máxima refrigeración y baj... -
Microsoft busca incrementar la velocidad de Windows 11 hasta un 40% mediante el nuevo modo de baja latencia de la CPU "LLP" , el... -
LaLiga ha sufrido un bloqueo accidental de sus propios dominios debido al sistema de filtrado de Movistar , diseñado para combatir la pirat...
Ataque GhostLock usa archivos compartidos de Windows para bloquear acceso como ransomware
A diferencia del ransomware tradicional que cifra datos, se ha descubierto una nueva técnica llamada GhostLock. Esta metodología logra interrumpir la operatividad de una organización sin necesidad de cifrar bytes en el disco, sino explotando el comportamiento estándar de archivos compartidos de Windows para bloquear el acceso a los archivos.
El ransomware tradicional interrumpe las organizaciones cifrando datos y exigiendo un pago por las claves de descifrado.
Sin embargo, una técnica recientemente revelada llamada GhostLock demuestra un ataque de disponibilidad fundamentalmente diferente que logra la misma interrupción empresarial sin escribir un solo byte cifrado en el disco.
Descubierto por Kim Dvash, líder de un equipo de seguridad ofensiva, GhostLock explota el comportamiento estándar de uso compartido de archivos de Windows para provocar fallos de accesibilidad generalizados.
Al mantener sistemáticamente los archivos en un estado de bloqueo exclusivo, un usuario de dominio con privilegios bajos y acceso de lectura estándar puede paralizar los recursos compartidos de archivos Server Message Block (SMB) corporativos. Desde la perspectiva de la víctima, el impacto es idéntico al de una infección por ransomware.
Los archivos críticos se vuelven inaccesibles, las aplicaciones de planificación de recursos empresariales (ERP) fallan y los flujos de trabajo compartidos se interrumpen, requiriendo la intervención de un especialista para restaurar las operaciones.
La técnica explota un comportamiento fundamental y bien documentado del sistema operativo Windows. Al invocar la API CreateFileW con el dwShareMode establecido en 0x00000000, cualquier usuario de dominio autenticado puede adquirir un manejador de denegación de uso compartido exclusivo sobre un archivo a través de SMB.
Esto fuerza un error STATUS_SHARING_VIOLATION (0xC0000043) para cualquier otro proceso o cliente de red que intente abrir ese archivo con cualquier propósito, incluyendo lectura, escritura o eliminación, hasta que el manejador se cierre voluntariamente o sea terminado forzosamente por un administrador de almacenamiento.
La superficie de ataque no es nueva. CreateFileW con dwShareMode = 0 es el mismo modo que utiliza Microsoft Office cuando abre un documento para editarlo, un comportamiento que existe desde Windows NT 3.1. No se ha registrado ningún CVE porque no hay un defecto de software que parchear.
Ataque GhostLock Explotado
GhostLock implementa esta única llamada a la API a través de un envoltorio de ctypes de Python que no requiere derechos administrativos ni dependencias externas.
Para escalar a través de un NAS empresarial, emplea un escáner paralelo de "robo de trabajo" de 32 hilos que paraleliza los viajes redondos de QUERY_DIRECTORY de SMB2, reduciendo el descubrimiento de archivos en un recurso compartido de 500,000 archivos de más de 61 minutos a aproximadamente 6 minutos y 22 segundos.
Las pruebas experimentales contra infraestructura aislada mostraron que la adquisición de manejadores en 500,000 archivos se completó en solo 2 minutos y 37 segundos, logrando una tasa de éxito de bloqueo del 99.6%.
Durante un período de retención de 60 segundos, las simulaciones de víctimas registraron una tasa de bloqueo de acceso a archivos del 99.8%. Una sola sesión SMB puede mantener hasta 64,000 manejadores exclusivos simultáneamente; con diez sesiones paralelas, un atacante puede superar los 500,000 manejadores bloqueados, lo suficiente para paralizar una fracción significativa de todo un despliegue de NAS empresarial.
Lo que hace que GhostLock sea particularmente peligroso es su evasión completa de cada capa de defensa convencional contra el ransomware. El documento evaluó la herramienta frente a siete categorías de control de seguridad empresarial:
- Archivos honeypot/canario: produjeron cero alertas; los canarios se activan en eventos de escritura, y GhostLock no realiza escrituras.
- Detectores de anomalías en la tasa de escritura: produjeron cero alertas; la métrica que monitorean (operaciones de escritura) simplemente está ausente.
- Motores de ransomware de IA conductual: produjeron cero alertas; el perfil de lectura-apertura de GhostLock es indistinguible del de un indexador de búsqueda o un agente de preescaneo de respaldo.
- Agentes EDR comerciales: produjeron cero alertas; el perfil de llamada al sistema refleja la apertura de documentos de Microsoft Word.
- NDR/inspección profunda de paquetes: produjeron cero alertas; el tráfico SMB2 mostró solo solicitudes
CREATEyCLOSE, idénticas al acceso normal de documentos. - Reglas de correlación SIEM: produjeron cero alertas; no existe un conjunto de reglas que monitoree la acumulación de manejadores exclusivos por sesión.
La única señal de detección fiable existe dentro de la propia capa de gestión del NAS: el recuento por sesión de manejadores exclusivos mantenidos simultáneamente.
El documento señala que una aplicación legítima de usuario único rara vez mantiene más de unas pocas docenas de manejadores exclusivos a la vez, mientras que GhostLock acumula decenas de miles, pero esta métrica no es ingerida por ningún SIEM empresarial revisado en la investigación.
Incluso después de la detección, la recuperación no es sencilla. Terminar la sesión SMB infractora requiere experiencia en administración de almacenamiento y, en la mayoría de las grandes empresas, el equipo de operaciones de almacenamiento y el equipo de operaciones de seguridad funcionan de manera independiente sin manuales de procedimientos conjuntos preestablecidos.
El tiempo medio estimado de recuperación en ejercicios de simulación sin un manual preestablecido fue de 4 a 8 horas.
Cabe destacar que, si se revocan las credenciales de Active Directory del atacante, la sesión SMB autenticada existente y todos sus bloqueos pueden persistir durante 15 a 60 minutos adicionales antes del tiempo de espera de la sesión, dependiendo de la configuración de la plataforma.
Dvash hace un llamado a los proveedores de NAS para que expongan los recuentos de manejadores exclusivos por sesión como telemetría de seguridad estándar junto con las salidas de syslog existentes, e insta a los proveedores de SIEM a crear integraciones de plataformas de almacenamiento que ingieran estos datos.
Para una acción defensiva inmediata, el documento recomienda alertar sobre cualquier sesión SMB individual que acumule más de 500 manejadores exclusivos, implementar una regla de NDR para solicitudes CREATE de SMB masivas con cero operaciones WRITE correspondientes en una ventana de 30 minutos, y establecer un manual conjunto de SecOps/StorageOps específicamente para la terminación de sesiones NAS.
La herramienta GhostLock y el código fuente están disponibles en github.com/kimd155/ghostlock y el sitio de investigación complementario en ghostlock.io.
Fuentes:
https://cybersecuritynews.com/ghostlock-attack/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.