Novo Ransomware 'GodDamn' Ataca Empresas dos EUA com Táticas Sofisticadas
Aprofundamento CEVIU
Aprofundamento
O ransomware GodDamn, uma nova variante do grupo Hyadina, demonstra um salto na sofisticação tática ao explorar uma vulnerabilidade crítica: drivers de kernel maliciosos que são inexplicavelmente assinados pela Microsoft. Essa técnica, conhecida como Bring Your Own Vulnerable Driver (BYOVD), permite que os atacantes contornem defesas de segurança robustas. Uma vez que o driver PoisonX, o centro dessa operação, é carregado no sistema, ele aniquila processos de software de segurança e remove hooks de API, efetivamente cegando as ferramentas de proteção.
A tática não para por aí. Os invasores utilizam o AnyDesk para acesso remoto inicial e uma coleção de 14 ferramentas open source, majoritariamente da NirSoft, para roubo de credenciais (navegadores, e-mails, mensageiros, dados Wi-Fi) e movimento lateral, como documentado pelo CEVIU News em oito de julho de 2026 na matéria “Ataques de Escalada de Privilégios e Persistência no Windows Ganham Novas Táticas”. Essa combinação garante persistência e coleta de dados antes da criptografia final.
O que mudou
O GodDamn representa uma evolução clara nas operações do grupo Hyadina, que anteriormente usava os lockers 'Beast' e 'Monster'. A grande diferença agora é a inclusão de um driver de kernel malicioso assinado pela Microsoft. Essa nova camada de evasão permite ao GodDamn desabilitar softwares de segurança de endpoint de forma mais eficaz. Comparado às versões anteriores, o GodDamn utiliza um arsenal mais vasto de ferramentas open source para furto de credenciais e explora o BYOVD, elevando o nível da ameaça e a dificuldade de detecção.
Por que isso importa
Este ataque do GodDamn é um alerta grave para as defesas corporativas. A capacidade de um driver malicioso ser assinado por uma empresa como a Microsoft sublinha uma falha crítica na cadeia de confiança de software, colocando em xeque a eficácia das listas de bloqueio de drivers vulneráveis. Mesmo com listas, há um lapso de tempo até a atualização chegar aos endpoints.
Para as empresas, a situação exige uma reavaliação das estratégias de segurança. É essencial ir além da detecção baseada em assinatura, focando em proteção comportamental e adaptativa. Isso impede que ferramentas legítimas, como o AnyDesk ou utilitários da NirSoft, sejam abusadas, protegendo dados sensíveis e a integridade dos sistemas contra táticas de evasão cada vez mais sofisticadas.
Linha do tempo
Grupo Silent Ransom ataca escritórios de advocacia nos EUA com chamadas falsas de suporte de TI.
Primeiro ataque de ransomware executado por agente de IA explora falha no Langflow.
Ameaças digitais em destaque: sequestro de poder computacional de IA e ransomware BlueHammer.
Novo Framework Avalon arma ransomware CrownX e demonstra evasão avançada.
Ransomware JadePuffer: Primeiro ataque totalmente automatizado por agente de IA.
Ataques de Escalada de Privilégios e Persistência no Windows ganham novas táticas.
Novo Ransomware 'GodDamn' ataca empresas dos EUA com táticas sofisticadas.
Perguntas frequentes
O que é o ransomware GodDamn?
GodDamn é uma nova variante de ransomware desenvolvida pelo grupo Hyadina, uma operação Ransomware-as-a-Service (RaaS) que tem como alvo organizações nos Estados Unidos. Esta versão se destaca por táticas avançadas, como o uso de um driver de kernel malicioso assinado pela Microsoft para desativar a segurança.
Como o GodDamn consegue contornar softwares de segurança?
O ransomware usa um driver de kernel malicioso chamado PoisonX, que foi assinado legitimamente pela Microsoft. Este driver permite que o GodDamn desative processos de segurança e remova hooks de API, evitando a detecção e permitindo que os atacantes operem sem impedimentos no sistema Windows.
O que são as táticas BYOVD e como elas se aplicam ao GodDamn?
BYOVD (Bring Your Own Vulnerable Driver) é uma tática onde atacantes usam drivers legítimos, mas vulneráveis ou maliciosos, para obter acesso e privilégios elevados. No caso do GodDamn, eles usam o PoisonX, um driver assinado pela Microsoft, para escalar privilégios e desativar softwares de segurança, uma técnica perigosa devido à confiança inerente em componentes assinados.
Que tipo de ferramentas são usadas pelo grupo Hyadina no ataque GodDamn?
Além do driver PoisonX, o grupo Hyadina emprega o AnyDesk para acesso remoto e um conjunto de 14 ferramentas open source, muitas delas da NirSoft. Essas ferramentas são usadas para roubo de credenciais (como de navegadores, e-mails e Wi-Fi) e para realizar movimentos laterais dentro da rede da vítima.
Fontes
- darkreading.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 10 de julho de 2026
- Editoria
- CEVIU Segurança da Informação

