Uma nova variante de ransomware chamada GodDamn, que é na verdade a mais recente reformulação do ransomware Beast (que por sua vez era uma reformulação do Monster, surgido em 2022), está utilizando um driver kernel malicioso assinado pela Microsoft para desabilitar soluções de segurança em ataques. A equipe Symantec Threat Hunter rastreia o desenvolvedor por trás dessas famílias como Hyadina.
O GodDamn foi documentado como visto pela primeira vez em 21 de maio de 2026, com o ataque investigado ocorrendo no início de junho. Durante esse incidente, os invasores usaram o AnyDesk para acesso remoto, empregaram um conjunto de ferramentas baseadas em NirSoft para roubo de credenciais e utilizaram uma ferramenta de evasão de defesa em modo de usuário disfarçada de produto Symantec, juntamente com o driver PoisonX, para desabilitar defesas antes de implantar o ransomware.
Driver PoisonX e evasão de defesa
O driver PoisonX foi documentado pela primeira vez no início de 2026, quando foi usado para encerrar o serviço CrowdStrike Falcon enviando um IOCTL especialmente criado para a interface não documentada do driver. O driver é assinado pela Microsoft e, portanto, parece ser legítimo para o sistema, podendo interromper ou desabilitar software de segurança no nível do kernel.
“Comumente chamamos esse tipo de evasão de ataque bring-your-own-vulnerable-driver (BYOVD), onde uma vulnerabilidade em um driver legítimo é explorada para desativar defesas. No entanto, o PoisonX parece ser ligeiramente mais incomum, pois parece ser um driver malicioso que seus desenvolvedores conseguiram assinar pela Microsoft, e agora está sendo usado por invasores de ransomware”, explicam os pesquisadores da Symantec.
Cadeia de ataque e ferramentas
A infecção inicial ocorreu em 29 de maio de 2026, quando o AnyDesk foi colocado na pasta Music do usuário. Nos dias seguintes, os invasores implantaram a ferramenta de evasão symantec.exe que, por sua vez, baixou o driver PoisonX (g11.sys) para o sistema. Simultaneamente, um kit abrangente de roubo de credenciais com 14 ferramentas, incluindo Mimikatz e vários utilitários da NirSoft, foi instalado.
Em 1º de junho, começou o movimento lateral usando PsExec. Os invasores desabilitaram o monitoramento em tempo real do Windows Defender e instalaram o AnyDesk em cada host com configuração de acesso não interativo, criando serviços para persistência após reinicialização. Em 3 de junho, o ransomware (encrypter-windows-gui-x86.exe) foi detectado, renomeando arquivos com a extensão .God8Damn ou, em alguns casos, com o nome da organização vítima.
Histórico do grupo Hyadina
Hyadina surgiu em março de 2022 com o ransomware Monster, operando como ransomware-as-a-service. Em junho de 2024, reformulou a operação como Beast, adicionando suporte para Linux e VMware ESXi. O GodDamn representa a iteração mais recente, com capacidade aprimorada de evasão de defesa, incluindo o uso do driver PoisonX.
“GodDamn parece ser a iteração mais recente de ransomware deste grupo, que continua desenvolvendo suas capacidades de ocultação e evasão de defesa. O uso do componente malicioso PoisonX representa uma escalada na capacidade de evasão defensiva por parte deste grupo”, concluem os pesquisadores.






