Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
3762
)
-
▼
mayo
(Total:
459
)
-
Cisco despedirá a 4.000 empleados y les ofrecerá c...
-
NVIDIA llevará centros de datos de IA al espacio
-
The Gentlemen RaaS usa dispositivos Cisco y Fortin...
-
Error de Amazon Quick expuso chats de IA a usuario...
-
WhatsApp añade conversaciones privadas con la IA
-
Actualizaciones de Dell SupportAssist causan bucle...
-
Vulnerabilidad crítica de NGINX de 18 años permite...
-
NVIDIA consigue el permiso de Trump para vender la...
-
Vulnerabilidad crítica de MongoDB permite ejecutar...
-
PS5 y Xbox Series X: ¿agotadas o infrautilizadas?
-
Configura varias VLAN para segmentar la red en un ...
-
En Japón, los SSD han aumentado su precio en casi ...
-
Un exploit zero-day llamado YellowKey permite abri...
-
Packagist pide actualizar Composer tras filtración...
-
Demanda colectiva a OpenAI por compartir datos de ...
-
Vulnerabilidad Fragnesia en Linux permite acceso r...
-
Microsoft prioriza Windows 11 sobre Windows 12
-
Un buen relato biográfico de Kevin Mitnick, probab...
-
Móviles de 2.000 euros por el nuevo Snapdragon 8 E...
-
GTA VI: precompra inminente
-
Apple romperá su dependencia conTSMC: Intel fabric...
-
Xbox Project Helix eliminará el lector de discos
-
EE. UU. imputa al presunto administrador de Dream ...
-
WhatsApp añade chats incógnito con Meta AI
-
Seedworm APT usa binarios de Fortemedia y Sentinel...
-
Andrew Ng critica despidos justificados con la IA
-
Los precios de las tarjetas gráficas bajan en Euro...
-
Fragnesia, la secuela de Dirty Frag, concede acces...
-
Los AMD EPYC representan el 46,2% del gasto total ...
-
NVIDIA presume de la burbuja de la IA: sus GPU “an...
-
UE busca prohibir redes sociales a menores de 16 años
-
Descubren un grave fallo de seguridad en el popula...
-
Android 17 será un sistema inteligente
-
Vulnerabilidad de 18 años en el módulo de reescrit...
-
Jonsbo DS339: así es el mini monitor USB para ver ...
-
IA obliga a parchear fallos de seguridad al instante
-
Teclado Razer Huntsman V3 TKL
-
Ataques contra PraisonAI por CVE-2026-44338: salto...
-
Microsoft soluciona 138 vulnerabilidades, incluyen...
-
Vulnerabilidades Zero-Day en Windows permiten salt...
-
Nueva vulnerabilidad de Exim BDAT GnuTLS permite a...
-
CVE-2026-33017 de Langflow usado para robar claves...
-
IA desborda a las universidades prestigiosas
-
Fracaso de Google Gemini en cafetería
-
iOS 26.5 trae RCS cifrado entre iPhone y Android
-
DeepMind fusiona el cursor con IA
-
Google lleva Gemini Intelligence a Android
-
AWS soluciona vulnerabilidad de salto de autentica...
-
Fragnesia: Nuevo fallo en el kernel de Linux permi...
-
Guerra en Irán obliga a marca de snacks a eliminar...
-
Grupos iraníes atacan a gigante electrónico de Cor...
-
Repositorio falso de filtro de privacidad de OpenA...
-
Móviles con Gemini Intelligence filtrados
-
Impactante Patch Tuesday incluye 30 vulnerabilidad...
-
Sovereign Tech Fund dona un millón de euros a KDE
-
¿Googlebook sustituirá a Chromebook?
-
Consiguen localizar la posición e identificar a us...
-
El Wi-Fi de tu casa capaz de ver a través de las p...
-
Kingston celebra 100 millones de ventas de los SSD...
-
Linux integra funciones de Windows para mejorar lo...
-
Japón planea un anillo solar lunar
-
Nueva campaña de Vidar Stealer evade EDR y roba cr...
-
Empleados de Amazon usan IA sin sentido para escal...
-
Tendencia de portátiles semiabiertos entre program...
-
Microsoft imita a Google para engañar usuarios
-
El sistema de IA MDASH de Microsoft detecta 16 fal...
-
Google iguala a AirDrop entre Android e iPhone
-
Steam Machine: cuatro modelos y reservas antiespec...
-
Altman afirma que Musk quería ceder el control a s...
-
Vulnerabilidades en Zoom Rooms y Workplace permite...
-
Ciberdelincuentes usan IA de Vercel para crear sit...
-
Samsung dejará de fabricar RAM LPDDR4 y afectará a...
-
Vulnerabilidad crítica de SandboxJS permite tomar ...
-
GIGABYTE AORUS RTX 5090 INFINITY: la gráfica con d...
-
Sony lanza el Xperia 1 VIII desde 1.499 euros
-
Vulnerabilidad en extensión de Chrome de Claude pe...
-
Vulnerabilidad crítica en agente IA Cline permite ...
-
Google: Cibercriminales aprovecharon la IA para cr...
-
Foxconn confirma ciberataque tras denuncias de rob...
-
SAP soluciona vulnerabilidades críticas en Commerc...
-
El grupo de malware TeamPCP libera el código fuent...
-
Jensen Huang insta a los universitarios a adoptar ...
-
Usan falsos repositorios de DeepSeek TUI en GitHub...
-
Malware ODINI usa emisiones magnéticas de CPU para...
-
Vietnam impulsará su propia nube para dejar de dep...
-
La RTX 5090 revienta casi la mitad de las contrase...
-
Paquete oficial de CheckMarx para Jenkins comprome...
-
Apple lanza iOS 26.5 con novedades clave
-
84 paquetes npm de TanStack hackeados en ataque a ...
-
Kenia: Centro de datos de Microsoft podría dejar a...
-
iOS 26.5 introduce los mensajes RCS con cifrado de...
-
Nuevo ataque de BitUnlocker en Windows 11 accede a...
-
El primer ministro de Japón ordena revisar la cibe...
-
Ciberdelincuentes emplean IA para crear el primer ...
-
Alerta de seguridad en librería Go fsnotify por ca...
-
Fortinet alerta sobre vulnerabilidades críticas de...
-
Vulnerabilidad de Open WebUI permite ataque RCE me...
-
Xbox y Discord potencian Game Pass
-
Google y SpaceX llevarán la IA al espacio
-
Forza Horizon 6 filtrado por error en Steam
-
-
▼
mayo
(Total:
459
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Noctua presenta el nuevo ventilador NF-A12x25 G2 chromax.black , que combina un diseño elegante en negro con la máxima refrigeración y baj... -
FluentCleaner es una app gratuita para Windows 11 que limpia archivos innecesarios y optimiza el sistema con mayor control y seguridad ... -
Microsoft busca incrementar la velocidad de Windows 11 hasta un 40% mediante el nuevo modo de baja latencia de la CPU "LLP" , el...
Ataque GhostLock usa archivos compartidos de Windows para bloquear acceso como ransomware
A diferencia del ransomware tradicional que cifra datos, se ha descubierto una nueva técnica llamada GhostLock. Esta metodología logra interrumpir la operatividad de una organización sin necesidad de cifrar bytes en el disco, sino explotando el comportamiento estándar de archivos compartidos de Windows para bloquear el acceso a los archivos.
El ransomware tradicional interrumpe las organizaciones cifrando datos y exigiendo un pago por las claves de descifrado.
Sin embargo, una técnica recientemente revelada llamada GhostLock demuestra un ataque de disponibilidad fundamentalmente diferente que logra la misma interrupción empresarial sin escribir un solo byte cifrado en el disco.
Descubierto por Kim Dvash, líder de un equipo de seguridad ofensiva, GhostLock explota el comportamiento estándar de uso compartido de archivos de Windows para provocar fallos de accesibilidad generalizados.
Al mantener sistemáticamente los archivos en un estado de bloqueo exclusivo, un usuario de dominio con privilegios bajos y acceso de lectura estándar puede paralizar los recursos compartidos de archivos Server Message Block (SMB) corporativos. Desde la perspectiva de la víctima, el impacto es idéntico al de una infección por ransomware.
Los archivos críticos se vuelven inaccesibles, las aplicaciones de planificación de recursos empresariales (ERP) fallan y los flujos de trabajo compartidos se interrumpen, requiriendo la intervención de un especialista para restaurar las operaciones.
La técnica explota un comportamiento fundamental y bien documentado del sistema operativo Windows. Al invocar la API CreateFileW con el dwShareMode establecido en 0x00000000, cualquier usuario de dominio autenticado puede adquirir un manejador de denegación de uso compartido exclusivo sobre un archivo a través de SMB.
Esto fuerza un error STATUS_SHARING_VIOLATION (0xC0000043) para cualquier otro proceso o cliente de red que intente abrir ese archivo con cualquier propósito, incluyendo lectura, escritura o eliminación, hasta que el manejador se cierre voluntariamente o sea terminado forzosamente por un administrador de almacenamiento.
La superficie de ataque no es nueva. CreateFileW con dwShareMode = 0 es el mismo modo que utiliza Microsoft Office cuando abre un documento para editarlo, un comportamiento que existe desde Windows NT 3.1. No se ha registrado ningún CVE porque no hay un defecto de software que parchear.
Ataque GhostLock Explotado
GhostLock implementa esta única llamada a la API a través de un envoltorio de ctypes de Python que no requiere derechos administrativos ni dependencias externas.
Para escalar a través de un NAS empresarial, emplea un escáner paralelo de "robo de trabajo" de 32 hilos que paraleliza los viajes redondos de QUERY_DIRECTORY de SMB2, reduciendo el descubrimiento de archivos en un recurso compartido de 500,000 archivos de más de 61 minutos a aproximadamente 6 minutos y 22 segundos.
Las pruebas experimentales contra infraestructura aislada mostraron que la adquisición de manejadores en 500,000 archivos se completó en solo 2 minutos y 37 segundos, logrando una tasa de éxito de bloqueo del 99.6%.
Durante un período de retención de 60 segundos, las simulaciones de víctimas registraron una tasa de bloqueo de acceso a archivos del 99.8%. Una sola sesión SMB puede mantener hasta 64,000 manejadores exclusivos simultáneamente; con diez sesiones paralelas, un atacante puede superar los 500,000 manejadores bloqueados, lo suficiente para paralizar una fracción significativa de todo un despliegue de NAS empresarial.
Lo que hace que GhostLock sea particularmente peligroso es su evasión completa de cada capa de defensa convencional contra el ransomware. El documento evaluó la herramienta frente a siete categorías de control de seguridad empresarial:
- Archivos honeypot/canario: produjeron cero alertas; los canarios se activan en eventos de escritura, y GhostLock no realiza escrituras.
- Detectores de anomalías en la tasa de escritura: produjeron cero alertas; la métrica que monitorean (operaciones de escritura) simplemente está ausente.
- Motores de ransomware de IA conductual: produjeron cero alertas; el perfil de lectura-apertura de GhostLock es indistinguible del de un indexador de búsqueda o un agente de preescaneo de respaldo.
- Agentes EDR comerciales: produjeron cero alertas; el perfil de llamada al sistema refleja la apertura de documentos de Microsoft Word.
- NDR/inspección profunda de paquetes: produjeron cero alertas; el tráfico SMB2 mostró solo solicitudes
CREATEyCLOSE, idénticas al acceso normal de documentos. - Reglas de correlación SIEM: produjeron cero alertas; no existe un conjunto de reglas que monitoree la acumulación de manejadores exclusivos por sesión.
La única señal de detección fiable existe dentro de la propia capa de gestión del NAS: el recuento por sesión de manejadores exclusivos mantenidos simultáneamente.
El documento señala que una aplicación legítima de usuario único rara vez mantiene más de unas pocas docenas de manejadores exclusivos a la vez, mientras que GhostLock acumula decenas de miles, pero esta métrica no es ingerida por ningún SIEM empresarial revisado en la investigación.
Incluso después de la detección, la recuperación no es sencilla. Terminar la sesión SMB infractora requiere experiencia en administración de almacenamiento y, en la mayoría de las grandes empresas, el equipo de operaciones de almacenamiento y el equipo de operaciones de seguridad funcionan de manera independiente sin manuales de procedimientos conjuntos preestablecidos.
El tiempo medio estimado de recuperación en ejercicios de simulación sin un manual preestablecido fue de 4 a 8 horas.
Cabe destacar que, si se revocan las credenciales de Active Directory del atacante, la sesión SMB autenticada existente y todos sus bloqueos pueden persistir durante 15 a 60 minutos adicionales antes del tiempo de espera de la sesión, dependiendo de la configuración de la plataforma.
Dvash hace un llamado a los proveedores de NAS para que expongan los recuentos de manejadores exclusivos por sesión como telemetría de seguridad estándar junto con las salidas de syslog existentes, e insta a los proveedores de SIEM a crear integraciones de plataformas de almacenamiento que ingieran estos datos.
Para una acción defensiva inmediata, el documento recomienda alertar sobre cualquier sesión SMB individual que acumule más de 500 manejadores exclusivos, implementar una regla de NDR para solicitudes CREATE de SMB masivas con cero operaciones WRITE correspondientes en una ventana de 30 minutos, y establecer un manual conjunto de SecOps/StorageOps específicamente para la terminación de sesiones NAS.
La herramienta GhostLock y el código fuente están disponibles en github.com/kimd155/ghostlock y el sitio de investigación complementario en ghostlock.io.
Fuentes:
https://cybersecuritynews.com/ghostlock-attack/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.