Ransomware GodDamn usa driver assinado para burlar EDRs

Ransomware GodDamn utiliza driver assinado para desativar proteções de segurança
A evolução das operações de ransomware demonstra que os grupos criminosos não dependem apenas da criptografia de arquivos para comprometer organizações. Cada nova geração desses ataques incorpora técnicas que buscam reduzir a capacidade de resposta das soluções de segurança antes mesmo da fase de criptografia. O objetivo deixa de ser apenas invadir um ambiente corporativo e passa a incluir a neutralização das ferramentas responsáveis por detectar, bloquear e responder à atividade maliciosa.
Essa mudança representa um desafio estratégico para equipes de segurança, pois amplia significativamente a complexidade da defesa. Em vez de enfrentar apenas um malware de criptografia, as organizações passam a lidar com campanhas completas de comprometimento, movimentação lateral, roubo de credenciais, evasão de mecanismos de proteção e, somente ao final, a execução do ransomware.
Pesquisadores da Symantec identificaram essa evolução na variante GodDamn, pertencente à família Hyadina. Segundo a análise publicada em 9 de julho, o grupo passou a utilizar um driver malicioso chamado PoisonX, que possui uma assinatura legítima do Microsoft Windows Hardware Compatibility Publisher. O objetivo desse componente é encerrar processos relacionados a produtos de segurança, reduzindo a capacidade de detecção antes da execução do ransomware.
Embora ainda não seja conhecido o vetor inicial de comprometimento utilizado nesse incidente específico, os pesquisadores destacam que o comprometimento de contas continua sendo um dos pontos de entrada mais comuns em campanhas modernas de ransomware.
A evolução da família Hyadina
De acordo com a análise da Symantec, o GodDamn representa a versão mais recente de uma família de ransomware cuja evolução pode ser rastreada desde 2022.
A sequência observada pelos pesquisadores mostra uma progressão composta inicialmente pelo ransomware Monster, posteriormente reformulado como Beast e, mais recentemente, transformado na variante GodDamn. Embora existam diferenças operacionais entre essas versões, todas pertencem à família denominada Hyadina.
Essa continuidade demonstra que operadores de ransomware mantêm ciclos constantes de desenvolvimento, reutilizando componentes existentes enquanto introduzem novos mecanismos destinados principalmente a aumentar a eficácia operacional e reduzir as chances de interrupção durante um ataque.
Por que a evasão de soluções de segurança tornou-se prioridade
As plataformas modernas de proteção de endpoints evoluíram significativamente nos últimos anos. Soluções de EDR, antivírus corporativos e mecanismos comportamentais conseguem identificar diversas atividades associadas a ransomware antes mesmo da criptografia dos arquivos.
Como consequência, grupos criminosos passaram a investir em técnicas cujo objetivo principal é desabilitar ou reduzir a eficiência dessas soluções. Em vez de simplesmente executar o ransomware, os invasores procuram primeiro eliminar obstáculos que possam interromper sua operação.
No caso analisado pela Symantec, essa estratégia aparece claramente na utilização do driver PoisonX, empregado especificamente para finalizar processos relacionados a produtos de segurança instalados na máquina comprometida.
Como o ataque foi observado
Durante a investigação, os pesquisadores identificaram a utilização do AnyDesk, ferramenta legítima de acesso remoto, instalada de forma oculta dentro de uma pasta denominada “Música”. O aplicativo estabelecia conexões de saída para endereços IP desconhecidos.
O uso de ferramentas legítimas não representa, por si só, atividade maliciosa. Entretanto, quando são ocultadas no sistema e utilizadas para manter acesso remoto não autorizado, passam a integrar a cadeia operacional do ataque.
Embora o relatório não determine como ocorreu o acesso inicial ao ambiente comprometido, a Symantec ressalta que o comprometimento de contas permanece entre os métodos mais frequentes utilizados em campanhas de ransomware atuais.
O papel do driver PoisonX na cadeia de ataque
Após obter acesso ao sistema, os invasores executaram um arquivo disfarçado como se fosse um produto da Symantec. Esse executável tinha como finalidade instalar o driver de kernel PoisonX no repositório de drivers do Windows.
O aspecto mais relevante desse componente está no fato de possuir uma assinatura legítima do Microsoft Windows Hardware Compatibility Publisher, característica que pode dificultar sua identificação imediata como software malicioso.
Segundo os pesquisadores, o objetivo operacional do PoisonX consiste em encerrar processos pertencentes a soluções de segurança instaladas no endpoint, reduzindo as barreiras defensivas antes das etapas seguintes do ataque.
Drivers assinados representam um desafio adicional para a defesa
Um dos aspectos mais relevantes observados pelos pesquisadores está na utilização de um driver malicioso que possui uma assinatura legítima do Microsoft Windows Hardware Compatibility Publisher. Em ambientes Windows, assinaturas digitais são utilizadas para verificar a autenticidade de drivers e outros componentes de baixo nível, tornando esse tipo de recurso fundamental para a integridade do sistema operacional.
No caso analisado pela Symantec, a presença dessa assinatura permite que o PoisonX seja instalado como um driver de kernel antes de ser utilizado para encerrar processos relacionados a produtos de segurança. O relatório não afirma que a assinatura pertença aos operadores do ransomware, apenas informa que ela é legítima e que sua origem ainda não foi determinada.
Os pesquisadores destacam que ainda não se sabe como essa assinatura foi obtida. Entre os métodos normalmente observados nesse tipo de cenário estão o uso de identidades corporativas roubadas para autenticar drivers ou o abuso de drivers legítimos de terceiros explorados de maneira indevida por invasores.
Redução das defesas antes da movimentação dos invasores
Após a instalação do PoisonX e a redução da capacidade de detecção das soluções de segurança, os operadores do GodDamn prosseguiram com outras etapas da invasão. Em vez de executar imediatamente a criptografia dos arquivos, os atacantes concentraram esforços em ampliar seu nível de controle sobre o ambiente comprometido.
Essa sequência operacional demonstra uma abordagem organizada, na qual cada fase prepara o terreno para a etapa seguinte. Quanto menor a capacidade de monitoramento do endpoint, maiores tendem a ser as possibilidades de exploração do sistema antes que a atividade seja percebida pelas equipes responsáveis pela segurança.
Essa estratégia também aumenta a probabilidade de que o ransomware seja executado apenas quando os criminosos considerarem que obtiveram privilégios suficientes para causar o maior impacto possível dentro da infraestrutura afetada.
Uso de ferramentas para obtenção de credenciais
Com as defesas enfraquecidas, os invasores instalaram ferramentas adicionais descritas pela Symantec, entre elas utilitários da NirSoft e o conhecido Mimikatz.
Segundo o relatório, esses recursos foram utilizados para roubar credenciais, cookies, informações relacionadas ao tráfego de rede em tempo real e outros dados capazes de ampliar o acesso dos atacantes ao ambiente comprometido.
A obtenção dessas informações permite aos operadores procurar novas oportunidades de acesso dentro da infraestrutura, buscando expandir privilégios e alcançar contas com maiores níveis de autorização, incluindo contas administrativas.
Escalada de privilégios como etapa intermediária
O comportamento observado indica que o ransomware não constitui a primeira ação executada após o comprometimento do sistema. Antes da criptografia, os atacantes procuram consolidar sua presença na rede e aumentar sua capacidade operacional.
Ao reunir credenciais adicionais e explorar contas privilegiadas, o grupo amplia seu potencial de atuação sobre diferentes sistemas da organização. Essa fase pode representar um dos momentos mais críticos do incidente, pois amplia significativamente a superfície comprometida antes da ativação do ransomware.
Embora o relatório da Symantec não detalhe toda a movimentação realizada pelos criminosos, ele evidencia que o objetivo era obter maior controle tanto da máquina inicialmente comprometida quanto da rede como um todo.
A execução do ransomware GodDamn
Somente após alcançar um nível considerado suficiente de controle sobre contas e sistemas, os operadores executaram o ransomware GodDamn.
Nessa etapa, os arquivos foram criptografados e uma mensagem de resgate foi apresentada às vítimas. Essa sequência reforça um padrão observado em campanhas modernas de ransomware, nas quais a criptografia representa a fase final de uma operação muito mais ampla e estruturada.
Ao adiar a execução do ransomware até que diferentes objetivos intermediários sejam alcançados, os atacantes procuram aumentar tanto o impacto operacional quanto a dificuldade de resposta por parte da organização afetada.
Implicações para equipes de segurança
A análise da Symantec evidencia que campanhas modernas de ransomware continuam evoluindo não apenas em relação ao código responsável pela criptografia, mas também na forma como neutralizam mecanismos defensivos ao longo da cadeia de ataque.
A utilização de componentes em nível de kernel, associada ao emprego de ferramentas voltadas ao roubo de credenciais e à expansão de privilégios, demonstra uma abordagem que combina múltiplas técnicas para aumentar as chances de sucesso da operação.
Para equipes responsáveis pela proteção de endpoints, esse cenário reforça a importância de analisar incidentes considerando toda a sequência operacional do ataque, desde o acesso inicial até a execução do ransomware, e não apenas a etapa final de criptografia dos dados.
O que a evolução do GodDamn revela sobre o cenário de ransomware
Na avaliação dos pesquisadores da Symantec, a variante GodDamn demonstra que os operadores da família Hyadina continuam aperfeiçoando suas ferramentas, táticas e procedimentos para manter seus ataques eficazes diante da evolução das soluções de segurança corporativa.
Em vez de depender exclusivamente da capacidade de criptografar arquivos, o grupo investe em mecanismos destinados a reduzir previamente a eficácia das tecnologias de proteção instaladas nos endpoints. Essa abordagem aumenta as possibilidades de permanência no ambiente comprometido e cria condições mais favoráveis para as etapas seguintes da operação.
Segundo a equipe de pesquisadores, essa evolução representa um indicativo de desenvolvimento contínuo da família Hyadina, evidenciando que seus operadores seguem incorporando novos recursos para ampliar sua capacidade de evasão e comprometer sistemas corporativos.
Uma cadeia de ataque estruturada em múltiplas fases
As informações divulgadas pela Symantec mostram que o ataque observado não se resume à execução de um ransomware. O incidente segue uma sequência organizada de ações, na qual cada etapa prepara o ambiente para a próxima.
Inicialmente, os invasores mantêm acesso remoto ao sistema comprometido utilizando o AnyDesk oculto em uma pasta denominada “Música”. Embora o vetor inicial de comprometimento permaneça desconhecido, os pesquisadores ressaltam que o comprometimento de contas continua sendo um dos meios de acesso mais frequentes em campanhas de ransomware.
Na sequência, um executável disfarçado como um produto da Symantec instala o driver malicioso PoisonX no sistema. O componente utiliza uma assinatura legítima do Microsoft Windows Hardware Compatibility Publisher e tem como finalidade encerrar processos relacionados a soluções de segurança.
Com as defesas reduzidas, os operadores instalam ferramentas como NirSoft e Mimikatz para coletar credenciais, cookies e outras informações capazes de ampliar o controle sobre o ambiente comprometido. Somente após consolidar privilégios e alcançar maior domínio sobre contas e sistemas ocorre a execução do ransomware GodDamn e a criptografia dos arquivos.
Os desafios para a proteção de endpoints
O caso analisado evidencia que a proteção dos endpoints precisa considerar não apenas a identificação do ransomware em sua fase final, mas toda a cadeia de atividades que antecede a criptografia. Componentes executados em nível de kernel, ferramentas legítimas utilizadas de forma maliciosa e utilitários destinados ao roubo de credenciais podem desempenhar papel decisivo no sucesso da invasão.
Também chama atenção o uso de uma assinatura legítima para o driver PoisonX. Embora a origem dessa assinatura ainda não tenha sido identificada, o relatório reforça que mecanismos normalmente utilizados para estabelecer confiança entre o sistema operacional e seus componentes também podem ser explorados por agentes maliciosos quando obtidos de forma indevida.
Esse cenário amplia a complexidade da defesa, exigindo monitoramento contínuo das diferentes etapas da intrusão e análise cuidadosa de comportamentos que possam indicar tentativas de evasão das soluções de segurança.
Considerações finais
A análise publicada pela Symantec demonstra que o ransomware GodDamn representa a evolução mais recente da família Hyadina, cuja origem remonta às variantes Monster e Beast identificadas desde 2022. A principal mudança observada está na incorporação do driver malicioso PoisonX, utilizado para reduzir as defesas dos endpoints antes da fase de criptografia.
O relatório também evidencia que campanhas modernas de ransomware continuam investindo na combinação de múltiplas técnicas, incluindo acesso remoto, instalação de drivers em nível de kernel, coleta de credenciais e expansão de privilégios, formando uma cadeia de ataque significativamente mais sofisticada do que a simples execução de um malware criptografador.
Embora diversos detalhes da intrusão permaneçam desconhecidos, como o vetor inicial de acesso e a obtenção da assinatura utilizada pelo PoisonX, os pesquisadores concluem que a família Hyadina permanece em desenvolvimento ativo. Segundo a equipe da Symantec e da Carbon Black, o uso desse driver representa uma escalada na capacidade de evasão defensiva do grupo e demonstra a contínua evolução de suas ferramentas, táticas e procedimentos para manter seus ataques capazes e eficazes.
