Ransomware GodDamn: Uma Nova Ameaça que Explora Vulnerabilidades Críticas em Sistemas Windows
O ransomware GodDamn marca um novo capítulo nos ataques cibernéticos direcionados a ambientes corporativos, utilizando táticas inovadoras que atacam o núcleo dos sistemas Windows. Ao invés de se esquivar de soluções antivírus tradicionais, os criminosos estão agora atacando a própria camada de confiança do sistema operacional, empregando um driver com assinatura digital legítima. Essa ameaça combina ransomware com técnicas de evasão de ferramentas de segurança, como EDR e antivírus, além da técnica BYOVD (Bring Your Own Vulnerable Driver), permitindo que invasores desativem mecanismos de proteção antes de iniciar a criptografia dos dados.
A descoberta deste ransomware chamou a atenção das equipes de segurança da Symantec/Broadcom e da CYFIRMA, que identificaram uma evolução significativa em uma linhagem de ransomware associada ao grupo conhecido como Hyadina. Isso evidencia a crescente sofisticação dos métodos utilizados por grupos criminosos para superar as barreiras de defesa contemporâneas.
Evolução da Ameaça: Da Família Monster ao GodDamn
O surgimento do GodDamn é o resultado de um processo evolutivo dentro de uma operação criminosa em constante adaptação. Pesquisadores de segurança revelaram que a linhagem teve início com o ransomware Monster, identificado em março de 2022. Com o tempo, o grupo Hyadina aprimorou suas ferramentas e métodos, resultando no desenvolvimento do Beast, uma variante intermediária que incorporou melhorias no ataque.
Em maio de 2026, a operação atingiu um novo patamar com a introdução do GodDamn, que trouxe recursos avançados para neutralizar as respostas dos sistemas de segurança. O diferencial desta nova variante reside no uso do driver PoisonX, projetado para interferir diretamente nas soluções de proteção do computador.
A Técnica BYOVD e o Perigo do Driver PoisonX
A técnica BYOVD, que pode ser traduzida como "traga seu próprio driver vulnerável", se tornou uma das estratégias mais preocupantes na segurança cibernética atual. Os atacantes utilizam um driver legítimo, porém vulnerável, para obter acesso privilegiado ao sistema operacional, explorando a sensibilidade do kernel do Windows.
No caso do GodDamn, os criminosos utilizam o driver g11.sys, associado ao PoisonX, para obter controle sobre componentes de segurança. Essa abordagem exige que o invasor tenha algum nível de acesso administrativo, permitindo que o driver atue como uma ferramenta de sabotagem contra as defesas instaladas.
Como o PoisonX Neutraliza Ferramentas de Segurança
O principal objetivo do PoisonX é criar uma "cegueira" nos sistemas de proteção. As ferramentas EDR monitoram processos e comportamentos suspeitos, mas quando um driver com privilégios de kernel interfere, a situação se torna crítica. O PoisonX pode encerrar processos de antivírus, bloquear mecanismos de monitoramento e remover barreiras de segurança, preparando o terreno para a criptografia dos dados.
Essa técnica é alarmante, pois muitas soluções tradicionais confiam no próprio sistema operacional para proteger seus processos. Ao atacar o nível do kernel, essa confiança se torna vulnerável.
O Alerta da Assinatura Digital da Microsoft
Um dos aspectos mais preocupantes do PoisonX é que ele utiliza um driver com assinatura digital válida. Embora essa validação seja projetada para impedir o acesso de códigos maliciosos, o ataque BYOVD explora uma falha conceitual: uma assinatura válida não garante segurança contínua. Um driver legítimo pode apresentar vulnerabilidades que tornam possível o seu uso criminoso. Assim, atacantes conseguem transformar componentes confiáveis em armas contra os próprios sistemas.
Estratégias de Defesa e Conclusão
O caso do ransomware GodDamn destaca a urgência de uma abordagem mais robusta à segurança digital. Para administradores e equipes de segurança, algumas medidas se tornam essenciais:
- Implementar políticas rigorosas para o carregamento de drivers.
- Monitorar o uso de softwares de acesso remoto, como o AnyDesk.
- Utilizar soluções EDR capazes de proteger contra manipulações em nível de kernel.
- Revisar permissões administrativas na rede.
- Manter-se atualizado sobre listas de drivers vulneráveis conhecidos.
O avanço do GodDamn ilustra uma realidade alarmante na cibersegurança atual: proteger endpoints não se resume a bloquear arquivos maliciosos, mas requer uma compreensão abrangente do comportamento do ambiente.
Fonte: Link original


































