Cybersecurity-onderzoekers hebben een nieuwe ransomware-familie gemarkeerd Godverdomme dat gebruik maakt van de PoisonX-kerneldriver om beveiligingssoftware te neutraliseren als onderdeel van zijn verdedigingsontwijkingsstrategie.
Volgens een nieuw rapport gepubliceerd door het Threat Hunter Team van Symantec, werd de ransomware voor het eerst publiekelijk in het wild opgemerkt op 21 mei 2026. Er wordt aangenomen dat het een rebranding is van de Beast-ransomware, die op zijn beurt een verbeterde versie was van Monster, een op Delphi gebaseerde ransomware die in maart 2022 opdook. De cyberbeveiligingsafdeling van Broadcom spoort de ontwikkelaar achter deze ransomware-families op onder de naam Hyadina.
Bij een aanval die begin juni 2026 door de ransomware-operatie werd georkestreerd, zouden de bedreigingsactoren AnyDesk hebben ingezet voor externe toegang en een op NirSoft gebaseerde toolkit voor het verzamelen van inloggegevens hebben gebruikt voordat ze de ransomware hadden ingezet. De exacte initiële toegangsvector is onbekend. De credential harvester is ontworpen om gevoelige gegevens te extraheren uit gewone webbrowsers, Windows Credential Manager, in de cache opgeslagen domeinreferenties, VNC-sessies, e-mailclients, Wi-Fi-profielen en live netwerkverkeer.
Ook wordt bij de aanval gebruik gemaakt van een tool voor het ontwijken van verdedigingsmechanismen in de gebruikersmodus, die is aangekleed als een Symantec-product (“symantec.exe”) en de PoisonX-kerneldriver (“g11.sys”) om de eindpuntverdediging uit te schakelen in wat een ‘bring your own vulnerability driver’-aanval (BYOVD) wordt genoemd.
“Het PoisonX-stuurprogramma lijkt echter iets ongebruikelijker te zijn, in die zin dat het een kwaadaardig stuurprogramma lijkt te zijn dat de ontwikkelaars ervan hebben ondertekend door Microsoft, en dat het nu wordt gebruikt door ransomware-aanvallers”, aldus het Symantec Threat Hunter-team in een rapport gedeeld met The Hacker News.
Het is vermeldenswaard dat PoisonX een van de acht drivers is die door de exploitanten van het ransomware-as-a-service (RaaS)-programma van The Gentlemen is overgenomen in de aangepaste GentleKiller-tool die het uitdeelt aan aangesloten bedrijven voor het aantasten van de systeemverdediging voordat de encryptor wordt uitgevoerd.
“Kwetsbare chauffeurs vormen de meest betrouwbare route voor aanvallers”, merkte Broadcom vorige maand op. “De aanvaller kan, nadat hij beheerdersrechten heeft verkregen, een gebrekkig maar geldig ondertekend stuurprogramma op de doelcomputer plaatsen. Omdat het stuurprogramma is ondertekend, laadt Windows het automatisch.”
“De meest voorkomende actie is het beëindigen van de processen die behoren tot antivirus (AV) of endpoint detectie en respons (EDR) producten, waardoor de machine van zijn verdediging wordt ontdaan. Sommige varianten zijn subtieler. Aanvallers kunnen de beveiligingsagent de rechten ontnemen die hij nodig heeft om correct te functioneren, waardoor deze blijft draaien maar niet in staat is om te handelen. Anderen knoeien rechtstreeks met de interne gegevens van de kernel, zodat het beveiligingsproduct niet langer meldingen ontvangt over wat er op de machine gebeurt, waardoor deze feitelijk blind wordt.”
De aanval wordt ook gekenmerkt door het gebruik van PsExec om zijwaartse beweging te vergemakkelijken, gevolgd door het instellen van AnyDesk op elk van die bereikbare hosts en het registreren ervan als een automatisch startende Windows-service om opnieuw opstarten te overleven. Op sommige machines wordt de volledige installatie van AnyDesk afgehandeld door een PowerShell-script dat vooraf op de systeemschijf is geïnstalleerd, wat het gebruik van een herbruikbaar installatieprogramma suggereert om het proces te stroomlijnen.
“Nadat de AnyDesk-installatie op elke host was voltooid, beëindigden de aanvallers het lopende AnyDesk-proces, wachtten even en startten vervolgens de machine opnieuw op”, aldus Symantec. “Eind 2 juni was deze implementatiereeks herhaald op ten minste tien hosts binnen de beoogde organisatie.”
Het cyberbeveiligingsbedrijf zei dat de GodDamn-ransomware voor het eerst werd gedetecteerd op 3 juni op een afzonderlijk netwerksegment dat was gekoppeld aan een afzonderlijke organisatie-eenheid, waardoor de bestanden werden hernoemd met de naam van het slachtoffer als extensie in plaats van de extensie “.God8Damn” die werd gebruikt bij andere aanvallen uitgevoerd door Hyadina.
Volgens een rapport vrijgegeven door CYFIRMA spoort het losgeldbriefje dat aan het einde van de inbraak werd achtergelaten, slachtoffers aan om contact met hen op te nemen via e-mail of de gecodeerde berichten-app qTox.
“GodDamn’s gebruik van de relatief nieuw ontdekte PoisonX kwaadaardige drivercomponent vertegenwoordigt een escalatie van het defensieve ontwijkingsvermogen van deze groep, wat aangeeft dat Hyadina actief doorgaat met het ontwikkelen van zijn ransomware en zijn mogelijkheden”, concludeerde het cyberbeveiligingsbedrijf.