GodDamn: Ransomware utiliza driver da Microsoft para ataques

Ransomware GodDamn e o Uso de Driver Malicioso
O ransomware GodDamn, a terceira versão do grupo criminoso Hyadina, está atacando empresas nos Estados Unidos utilizando o driver malicioso PoisonX. Este arquivo, que possui uma assinatura legítima do Microsoft Hardware Compatibility Publisher, é capaz de desativar ferramentas de segurança como EDRs e antivírus antes de criptografar dados. A investigação do ataque, que ocorreu em junho de 2026, revelou uma falha crítica no processo de validação de drivers no ecossistema Windows.
O uso de um driver assinado pela Microsoft para comprometer defesas corporativas representa um desafio significativo para as empresas. O GodDamn Ransomware se destaca como uma das versões mais sofisticadas do grupo Hyadina, que já havia evoluído de ataques anteriores.
Detalhes do Ataque: Quatro Dias de Invasão
Pesquisadores conseguiram reconstruir as etapas de um ataque ocorrido em junho de 2026, revelando um manual de eficiência criminosa. A atividade maliciosa começou em 29 de maio, com a implantação do ransomware ocorrendo em 3 de junho, comprometendo pelo menos 10 hosts em apenas quatro dias.
O acesso inicial foi realizado através do AnyDesk, uma ferramenta legítima de acesso remoto. Após a invasão, os atacantes utilizaram o PsExec para se mover lateralmente pela rede, evitando alertas convencionais. Para roubar credenciais, implantaram um toolkit NirSoft com 14 ferramentas open source, que juntas formaram um arsenal para extração de senhas.
Limitações da Blocklist da Microsoft
A Microsoft possui uma lista de bloqueio para drivers maliciosos, mas a eficácia dessa medida é questionável. Após a identificação de um driver perigoso, pode levar dias ou semanas até que a atualização chegue aos endpoints, um intervalo que grupos como o Hyadina exploram. Além disso, o caso do PoisonX expõe falhas no processo de validação da Microsoft, já que um driver malicioso recebeu uma assinatura oficial.
Leia também
Essa situação levanta preocupações para os líderes de segurança, que se perguntam sobre a confiabilidade das assinaturas digitais como indicadores de segurança. Se um driver assinado pode ser malicioso, quais outros mecanismos de confiança ainda são válidos?
A Commoditização das Técnicas de Ransomware
O grupo Hyadina, atuando como RaaS desde 2022, tem incorporado técnicas cada vez mais sofisticadas em suas operações. A adoção do PoisonX por diferentes grupos criminosos indica que ataques em nível de kernel estão se tornando acessíveis a uma gama mais ampla de atores, não apenas a grupos altamente especializados.
Setores como saúde, manufatura e educação, que possuem infraestruturas de TI complexas e janelas de atualização lentas, são alvos frequentes, aumentando a probabilidade de pagamento de resgates. Para os fabricantes de soluções EDR, é essencial reforçar os mecanismos de autoproteção e monitorar drivers não autorizados, mesmo aqueles com assinaturas válidas.
A lição do GodDamn Ransomware é clara: a confiança em assinaturas digitais e ferramentas legítimas deve ser reavaliada, pois elas podem se tornar parte da superfície de ataque.
Fonte por: Its Show
Autor(a):
Redação
Portal de notícias e informações atualizadas do Brasil e do mundo. Acompanhe as principais notícias em tempo real


