GodDamn ransomware wykorzystuje sterownik PoisonX do wyłączania ochrony endpointów - Security Bez Tabu

GodDamn ransomware wykorzystuje sterownik PoisonX do wyłączania ochrony endpointów

Cybersecurity news

Wprowadzenie do problemu / definicja

GodDamn to nowo opisana rodzina ransomware, która wyróżnia się użyciem sterownika jądra PoisonX do neutralizowania mechanizmów ochronnych jeszcze przed uruchomieniem szyfrowania. Taka taktyka wpisuje się w model BYOVD, czyli nadużycie zaufanego lub podpisanego sterownika w celu obejścia zabezpieczeń systemowych i ograniczenia skuteczności narzędzi EDR oraz AV.

W praktyce oznacza to przejście od prostego wyłączania procesów bezpieczeństwa do ingerencji na poziomie jądra Windows. Dla obrońców jest to szczególnie niebezpieczne, ponieważ atakujący zyskują możliwość osłabienia telemetrii i reakcji ochrony jeszcze przed właściwą fazą destrukcyjną.

W skrócie

  • GodDamn jest łączony z wcześniejszymi wariantami ransomware znanymi jako Monster i Beast.
  • Napastnicy wykorzystują AnyDesk do zdalnego dostępu i utrwalania obecności w środowisku.
  • Do kradzieży poświadczeń stosowane są narzędzia NirSoft, Mimikatz oraz dodatkowe utility do rozpoznania infrastruktury.
  • Kluczowym elementem kampanii jest sterownik PoisonX, wdrażany jako g11.sys, służący do wyłączania ochrony endpointów.
  • Ruch boczny realizowany jest między innymi przez PsExec, a sam atak ma charakter wieloetapowy i przygotowywany jest przez kilka dni.

Kontekst / historia

Z dostępnych analiz wynika, że operatorzy GodDamn mogą stanowić kontynuację linii rozwojowej zagrożenia obserwowanej wcześniej jako Monster, a następnie Beast. Starsze warianty były kojarzone z aktywnością przypisywaną podmiotowi śledzonemu jako Hyadina i od co najmniej 2022 roku były rozwijane z myślą o środowiskach Windows.

W kolejnych etapach ewolucji kampania zyskała nowe możliwości operacyjne, w tym szersze wsparcie dla różnych platform oraz bardziej dojrzały zestaw narzędzi do działań po uzyskaniu dostępu. GodDamn wydaje się następnym krokiem w tej ewolucji, z wyraźnym naciskiem na obchodzenie zabezpieczeń i przygotowanie infrastruktury ofiary przed uruchomieniem szyfratora.

Analiza techniczna

W badanym incydencie początkowy wektor wejścia nie został jednoznacznie ustalony, ale najwcześniejsze oznaki aktywności wskazywały na ręczne dostarczenie AnyDesk do niestandardowej lokalizacji w katalogu użytkownika. Taki wzorzec często sugeruje, że intruz posiadał już wstępny dostęp i przechodził do fazy utrwalania obecności.

Następnie wdrożono komponent podszywający się pod legalne oprogramowanie bezpieczeństwa, zapisany jako symantec.exe, którego zadaniem było zainstalowanie sterownika PoisonX pod nazwą g11.sys. Po załadowaniu sterownik miał umożliwiać kończenie procesów produktów ochronnych oraz usuwanie mechanizmów hookowania w przestrzeni użytkownika, co ogranicza widoczność działań napastnika i utrudnia skuteczną detekcję.

Równolegle operatorzy wdrażali narzędzia służące do pozyskiwania poświadczeń z przeglądarek, klientów pocztowych, menedżera poświadczeń Windows, konfiguracji Wi-Fi, sesji VNC i innych zasobów lokalnych. Obecność Mimikatz oraz utility do enumeracji hostów wskazuje, że faza poprzedzająca szyfrowanie była nastawiona na szybkie podniesienie uprawnień, rozpoznanie środowiska i rozszerzenie zasięgu kompromitacji.

Do ruchu bocznego wykorzystano PsExec, a na kolejnych hostach konfigurowano AnyDesk w trybie nienadzorowanego dostępu. Napastnicy przygotowywali własne pliki konfiguracyjne, ustawiali hasła, tworzyli usługi systemowe uruchamiane automatycznie po restarcie i w części przypadków automatyzowali wdrożenie przy użyciu skryptów PowerShell. Po rozmieszczeniu persystencji na wielu stacjach wykonywano restarty hostów w celu potwierdzenia poprawnego działania mechanizmów trwałości.

Dopiero po kilku dniach przygotowań wykrywano właściwy ładunek ransomware. W części obserwowanych przypadków zaszyfrowane pliki otrzymywały rozszerzenie .God8Damn, ale w niektórych incydentach używano rozszerzeń dostosowanych do nazwy ofiary, co może wskazywać na ręczne modyfikacje kampanii lub indywidualną konfigurację ataku.

Konsekwencje / ryzyko

Największe zagrożenie wynika tu z połączenia kradzieży poświadczeń, skutecznego ruchu bocznego i wyłączania ochrony na poziomie endpointu. Jeśli napastnik uzyskuje możliwość osłabienia lub wyłączenia narzędzi bezpieczeństwa przed szyfrowaniem, organizacja może stracić cenny czas potrzebny na wykrycie i powstrzymanie incydentu.

Dodatkowym ryzykiem jest wieloetapowy charakter operacji. Operatorzy nie ograniczają się do szybkiego zaszyfrowania pojedynczej stacji, lecz przygotowują środowisko na wielu hostach, budują trwały dostęp i dopiero potem przechodzą do fazy końcowej. Taki model zwiększa prawdopodobieństwo jednoczesnego uderzenia w większą część infrastruktury oraz stwarza warunki do potencjalnej eksfiltracji danych.

Dla zespołów SOC i IR wyzwaniem jest również to, że używane narzędzia, takie jak AnyDesk, PsExec czy utility klasy NirSoft, mogą występować także w legalnych scenariuszach administracyjnych. Kluczowe staje się więc monitorowanie kontekstu użycia, nietypowych ścieżek instalacji, sekwencji zdarzeń oraz korelacji czasowej między zmianami konfiguracji, restartami hostów i aktywnością związaną z poświadczeniami.

Rekomendacje

Organizacje powinny wzmocnić kontrolę ładowania sterowników i monitorować wszystkie przypadki instalacji nowych komponentów jądra, zwłaszcza jeśli pojawiają się one poza standardowym procesem zarządzania oprogramowaniem. W środowiskach Windows warto wdrożyć polityki ograniczające użycie nieautoryzowanych sterowników oraz mechanizmy blokowania znanych technik BYOVD.

Należy także ograniczyć możliwość niekontrolowanego stosowania narzędzi zdalnego dostępu. AnyDesk i podobne rozwiązania powinny działać wyłącznie w zatwierdzonym modelu, z centralnym nadzorem, kontrolą konfiguracji i jasno określonymi lokalizacjami instalacji. Uruchamianie takich aplikacji z katalogów użytkownika lub niestandardowych ścieżek powinno wywoływać alerty bezpieczeństwa.

Równie istotne jest monitorowanie narzędzi służących do odzyskiwania haseł i dumpingu poświadczeń. Pojawienie się ich w połączeniu z PsExec, zmianami w ustawieniach ochrony, tworzeniem usług systemowych i serią restartów hostów stanowi silny wskaźnik kompromitacji.

  • monitorowanie tworzenia i ładowania nietypowych sterowników,
  • wykrywanie prób wyłączania Microsoft Defender i innych agentów ochronnych,
  • analiza użycia PsExec do zdalnego uruchamiania poleceń,
  • identyfikacja masowej instalacji AnyDesk lub podobnych narzędzi,
  • korelacja obecności utility NirSoft i Mimikatz na wielu hostach,
  • wykrywanie nagłych restartów stacji po zmianach usług systemowych.

Uzupełnieniem tych działań powinny być segmentacja sieci, ograniczenie uprawnień administratorów lokalnych, MFA dla dostępu uprzywilejowanego, ścisłe zarządzanie udziałami administracyjnymi oraz regularne testy odtwarzania kopii zapasowych. W przypadku wykrycia takiej aktywności kluczowe jest szybkie odizolowanie hostów, zabezpieczenie artefaktów pamięci i dysku oraz sprawdzenie, czy na innych segmentach nie rozmieszczono już kanałów zdalnego dostępu.

Podsumowanie

GodDamn pokazuje, że nowoczesne kampanie ransomware coraz częściej mają charakter pełnoskalowych operacji intruzyjnych, a nie jedynie prostych incydentów szyfrowania danych. Wykorzystanie sterownika PoisonX znacząco podnosi poziom zagrożenia, ponieważ pozwala aktywnie osłabiać zabezpieczenia jeszcze przed uruchomieniem szyfratora.

Połączenie techniki BYOVD, kradzieży poświadczeń, ruchu bocznego i trwałego dostępu zdalnego sprawia, że organizacje muszą monitorować cały łańcuch operacyjny ataku. Skuteczna obrona wymaga nie tylko wykrywania samego ransomware, ale także wczesnego identyfikowania działań przygotowawczych, które poprzedzają fazę końcową.

Źródła

  1. https://thehackernews.com/2026/07/goddamn-ransomware-uses-poisonx-driver.html
  2. https://www.security.com/threat-intelligence/goddamn-ransomware-beast-rebrand
  3. https://www.cyfirma.com/news/weekly-intelligence-report-19-jun-2026/
  4. https://knowledge.broadcom.com/external/article/445443/detection-and-blocking-of-nirsoft-tool-a.html