Resumo: Uma nova familia de ransomware batizada de GodDamn esta sendo distribuida com o driver malicioso PoisonX, que desliga ou cega solucoes de EDR antes da criptografia. A Symantec, do grupo Broadcom, atribui a operacao ao ator monitorado como Hyadina — o mesmo por tras das antigas linhagens Beast e Monster — e ja documentou intrusoes com AnyDesk, PsExec e coleta de credenciais via ferramentas NirSoft. Em um dos ataques, o payload chegou a ser propagado para mais de 10 hosts em uma unica organizacao antes da deteccao.
Pesquisadores da Threat Hunter Team da Symantec publicaram nesta semana o dossie tecnico do GodDamn, ransomware detectado publicamente pela primeira vez em 21 de maio de 2026. A analise conclui que se trata de um rebrand do Beast, que por sua vez ja era uma evolucao do Monster — familia em Delphi que apareceu em marco de 2022. O elo entre as tres linhagens leva ao mesmo desenvolvedor, catalogado internamente pela Broadcom como Hyadina.
O caso operacional descrito no relatorio ocorreu no inicio de junho de 2026. Os atacantes entraram na rede-alvo com uma combinacao ja classica em incidentes de ransomware: AnyDesk como canal de acesso remoto persistente e um kit de exfiltracao construido sobre utilitarios da NirSoft para coletar credenciais de navegadores, do Windows Credential Manager e de contas de e-mail salvas no cliente. O vetor de entrada inicial permanece indefinido, o que fortalece a hipotese de comprometimento via acesso valido previamente vendido em foruns clandestinos.
A partir do primeiro host, o time por tras do GodDamn instalou o AnyDesk como servico do Windows, garantiu persistencia via auto-start e usou PsExec para movimentacao lateral. Um script PowerShell pre-preparado no drive do sistema automatizou o deploy do AnyDesk em cada maquina reachable, o que sugere um instalador reutilizavel padronizado para a operacao.
O diferencial tecnico do GodDamn esta na etapa que antecede a criptografia. Antes de disparar o payload, o atacante executa o driver PoisonX, um componente que atua diretamente no kernel do Windows para desativar mecanismos de defesa. A tecnica se enquadra na categoria conhecida como EDR killer, cada vez mais frequente em intrusoes de ransomware moderno.
“Alguns drivers encerram os processos e servicos de seguranca. Outros deixam o produto rodando, mas incapaz de agir. Outros ainda adulteram os registros internos do kernel para que a solucao de seguranca deixe de receber notificacoes do que esta acontecendo na maquina, tornando-a efetivamente cega.” — Symantec Threat Hunter Team
A leitura pratica: o PoisonX nao precisa desinstalar ou matar o agente EDR. Basta interromper o fluxo de eventos entre o kernel e o motor de detecao para que o produto exista, mas nao veja mais nada. Analistas de SOC podem continuar recebendo heartbeat da maquina e concluir que esta saudavel, enquanto o adversario opera livremente. Esse padrao ja apareceu em campanhas do BlackCat, LockBit e AvosLocker, mas o Hyadina o industrializa: entrega tudo em um kit pronto para o afiliado.
Ao final da preparacao, o instalador reinicia cada host. No caso investigado, ate 2 de junho a sequencia se repetira em pelo menos 10 maquinas antes da deteccao. A criptografia efetiva do GodDamn foi disparada em 3 de junho, com pouca janela para conter danos.
O relatorio nao nomeia a vitima do incidente detalhado, mas o comportamento operacional aponta para alvos com infraestrutura Windows corporativa tradicional: dominio Active Directory, EDR desatualizado ou mal configurado, uso legitimo de AnyDesk pela TI e ausencia de whitelist para PowerShell. Setores mais expostos:
O GodDamn nao inaugura uma tecnica — ela vem sendo aperfeicoada desde os primeiros drivers vulneraveis assinados que foram abusados na campanha do BlackCat contra hospitais em 2023. O que muda em 2026 e a industrializacao: o mesmo autor mantem tres marcas comerciais (Monster, Beast, GodDamn) rodando em paralelo, cada uma otimizada para um segmento diferente de afiliado, com pacote de deploy pronto que inclui EDR killer, colector NirSoft, PsExec e AnyDesk. Isso reduz o custo de entrada para operadores menos habilidosos e explica a velocidade das intrusoes recentes.
O ponto de atencao para o time de defesa e o teto tecnico dessa geracao. Enquanto os fornecedores de EDR nao adotarem controle rigido de drivers vulneraveis (via Microsoft Vulnerable Driver Blocklist e telemetria fora do kernel), qualquer produto que dependa apenas de callbacks do sistema operacional continuara refem do proximo PoisonX. A logica de defesa precisa migrar para sinais em rede, identidade e comportamento — nao so no endpoint.
Fonte: The Hacker News
Pesquisa da Wiz mostra que Claude Code, Amazon Q, Cursor, Google Antigravity, Augment e Windsurf…
Bruxelas admite que 70% da nuvem europeia esta em maos estrangeiras e responde com nove…
PL 762/2026 e PL 704/2026 ao lado do PL 2338 desenham a nova regulação de…
ROMA da Sentient AGI usa decomposição recursiva com Atomizer/Planner/Executor/Aggregator e supera baselines em SEAL-0, FRAMES…
Co-Scientist do DeepMind sai da demo, ganha paper na Nature e abre acesso via Gemini…
Vera Rubin NVL72 em produção: 10x menos custo por token e 4x menos GPUs para…