GodDamn ransomware usa driver PoisonX para cegar EDR e ja rodou em 10 hosts antes da detecao

Resumo: Uma nova familia de ransomware batizada de GodDamn esta sendo distribuida com o driver malicioso PoisonX, que desliga ou cega solucoes de EDR antes da criptografia. A Symantec, do grupo Broadcom, atribui a operacao ao ator monitorado como Hyadina — o mesmo por tras das antigas linhagens Beast e Monster — e ja documentou intrusoes com AnyDesk, PsExec e coleta de credenciais via ferramentas NirSoft. Em um dos ataques, o payload chegou a ser propagado para mais de 10 hosts em uma unica organizacao antes da deteccao.

O que aconteceu

Pesquisadores da Threat Hunter Team da Symantec publicaram nesta semana o dossie tecnico do GodDamn, ransomware detectado publicamente pela primeira vez em 21 de maio de 2026. A analise conclui que se trata de um rebrand do Beast, que por sua vez ja era uma evolucao do Monster — familia em Delphi que apareceu em marco de 2022. O elo entre as tres linhagens leva ao mesmo desenvolvedor, catalogado internamente pela Broadcom como Hyadina.

O caso operacional descrito no relatorio ocorreu no inicio de junho de 2026. Os atacantes entraram na rede-alvo com uma combinacao ja classica em incidentes de ransomware: AnyDesk como canal de acesso remoto persistente e um kit de exfiltracao construido sobre utilitarios da NirSoft para coletar credenciais de navegadores, do Windows Credential Manager e de contas de e-mail salvas no cliente. O vetor de entrada inicial permanece indefinido, o que fortalece a hipotese de comprometimento via acesso valido previamente vendido em foruns clandestinos.

A partir do primeiro host, o time por tras do GodDamn instalou o AnyDesk como servico do Windows, garantiu persistencia via auto-start e usou PsExec para movimentacao lateral. Um script PowerShell pre-preparado no drive do sistema automatizou o deploy do AnyDesk em cada maquina reachable, o que sugere um instalador reutilizavel padronizado para a operacao.

Como o PoisonX cega o EDR

O diferencial tecnico do GodDamn esta na etapa que antecede a criptografia. Antes de disparar o payload, o atacante executa o driver PoisonX, um componente que atua diretamente no kernel do Windows para desativar mecanismos de defesa. A tecnica se enquadra na categoria conhecida como EDR killer, cada vez mais frequente em intrusoes de ransomware moderno.

“Alguns drivers encerram os processos e servicos de seguranca. Outros deixam o produto rodando, mas incapaz de agir. Outros ainda adulteram os registros internos do kernel para que a solucao de seguranca deixe de receber notificacoes do que esta acontecendo na maquina, tornando-a efetivamente cega.” — Symantec Threat Hunter Team

A leitura pratica: o PoisonX nao precisa desinstalar ou matar o agente EDR. Basta interromper o fluxo de eventos entre o kernel e o motor de detecao para que o produto exista, mas nao veja mais nada. Analistas de SOC podem continuar recebendo heartbeat da maquina e concluir que esta saudavel, enquanto o adversario opera livremente. Esse padrao ja apareceu em campanhas do BlackCat, LockBit e AvosLocker, mas o Hyadina o industrializa: entrega tudo em um kit pronto para o afiliado.

Ao final da preparacao, o instalador reinicia cada host. No caso investigado, ate 2 de junho a sequencia se repetira em pelo menos 10 maquinas antes da deteccao. A criptografia efetiva do GodDamn foi disparada em 3 de junho, com pouca janela para conter danos.

Quem esta na mira

O relatorio nao nomeia a vitima do incidente detalhado, mas o comportamento operacional aponta para alvos com infraestrutura Windows corporativa tradicional: dominio Active Directory, EDR desatualizado ou mal configurado, uso legitimo de AnyDesk pela TI e ausencia de whitelist para PowerShell. Setores mais expostos:

  • Manufatura e industria com jornadas 24×7 e alta tolerancia a downtime negociado
  • Empresas de servicos financeiros e de tecnologia de menor porte que usam MSPs
  • Redes de saude com estacoes clinicas rodando softwares legados
  • Educacao e governo estadual/municipal, historicamente alvos favoritos de reinado do Beast/Monster

Analise

O GodDamn nao inaugura uma tecnica — ela vem sendo aperfeicoada desde os primeiros drivers vulneraveis assinados que foram abusados na campanha do BlackCat contra hospitais em 2023. O que muda em 2026 e a industrializacao: o mesmo autor mantem tres marcas comerciais (Monster, Beast, GodDamn) rodando em paralelo, cada uma otimizada para um segmento diferente de afiliado, com pacote de deploy pronto que inclui EDR killer, colector NirSoft, PsExec e AnyDesk. Isso reduz o custo de entrada para operadores menos habilidosos e explica a velocidade das intrusoes recentes.

O ponto de atencao para o time de defesa e o teto tecnico dessa geracao. Enquanto os fornecedores de EDR nao adotarem controle rigido de drivers vulneraveis (via Microsoft Vulnerable Driver Blocklist e telemetria fora do kernel), qualquer produto que dependa apenas de callbacks do sistema operacional continuara refem do proximo PoisonX. A logica de defesa precisa migrar para sinais em rede, identidade e comportamento — nao so no endpoint.

Recomendacoes praticas

  • Ative a Microsoft Vulnerable Driver Blocklist em modo estrito e monitore driver installs em servidores criticos com regras de detecao dedicadas
  • Coloque AnyDesk, TeamViewer, ScreenConnect e demais RATs legitimos sob allowlist estrita por processo assinado + host; alertar em toda instalacao nova
  • Alertar em qualquer criacao de servico Windows apontando para binarios em C:\Windows\Temp, C:\Users\Public ou pastas de download
  • Bloquear execucao de PsExec fora dos jump servers autorizados; caso legitimo, exigir assinatura da versao SysInternals mais recente
  • Correlacionar eventos de EDR silencioso (heartbeat sem telemetria de processo) com atividades de rede — se o agente parou de reportar mas o host segue online, tratar como incidente
  • Rodar hunt por artefatos NirSoft (WebBrowserPassView, Mail PassView, CredentialsFileView) em enderecos incomuns
  • Testar o processo de recuperacao com pressuposto de que o EDR pode ser desligado sem alarme

Fonte: The Hacker News

TheNinja

Recent Posts

GhostApproval: symlink de 30 anos engana Claude Code, Cursor, Amazon Q e Windsurf para roubar segredos do desenvolvedor

Pesquisa da Wiz mostra que Claude Code, Amazon Q, Cursor, Google Antigravity, Augment e Windsurf…

1 hora ago

ROMA: framework open-source para agentes recursivos multi-agente ganha 1,75x com GEPA+ e vira novo padrão de arquitetura

ROMA da Sentient AGI usa decomposição recursiva com Atomizer/Planner/Executor/Aggregator e supera baselines em SEAL-0, FRAMES…

5 horas ago

Google DeepMind Co-Scientist chega à Nature e ao Gemini for Science: caso C2S-Scale valida hipótese oncológica com Yale

Co-Scientist do DeepMind sai da demo, ganha paper na Nature e abre acesso via Gemini…

5 horas ago

NVIDIA Vera Rubin NVL72 entra em produção total: 10x menos custo por token e 4x menos GPUs para treinar MoE

Vera Rubin NVL72 em produção: 10x menos custo por token e 4x menos GPUs para…

5 horas ago