Nova família de ransomware GodDamn utiliza driver malicioso PoisonX
Pesquisadores de cibersegurança identificaram uma nova família de ransomware chamada GodDamn, que utiliza o driver malicioso PoisonX para desativar softwares de segurança, dificultando a detecção e resposta a ataques. O ransomware foi avistado pela primeira vez em 21 de maio de 2026 e é considerado uma rebrand do ransomware Beast, que por sua vez era uma versão aprimorada do Monster, surgido em março de 2022. A empresa Broadcom está investigando o grupo por trás dessas ameaças, conhecido como Hyadina.
Em um ataque recente, os criminosos cibernéticos usaram o AnyDesk para acesso remoto e um kit de coleta de credenciais da NirSoft antes de implantar o ransomware. O PoisonX, um driver malicioso que foi assinado pela Microsoft, é utilizado para desativar defesas de endpoint, permitindo que os atacantes ganhem privilégios administrativos. Essa técnica, conhecida como BYOVD (Bring Your Own Vulnerable Driver), é uma nova abordagem que representa um aumento nas capacidades de evasão de defesa do grupo.
O ataque também envolveu o uso do PsExec para movimentação lateral e a instalação do AnyDesk como um serviço do Windows para persistência. O ransomware GodDamn renomeia arquivos com a extensão do nome da vítima, em vez da extensão padrão utilizada em ataques anteriores. A nota de resgate pede que as vítimas entrem em contato via e-mail ou pelo aplicativo de mensagens criptografadas qTox. A utilização do driver PoisonX indica que o grupo Hyadina continua a desenvolver suas capacidades de ransomware, aumentando o risco para organizações em todo o mundo.
Fonte: https://thehackernews.com/2026/07/goddamn-ransomware-uses-poisonx-driver.html
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
