GodDamn ransomware

Editors' Pick

A Symantec Threat Hunter Team elemzése szerint a GodDamn zsarolóvírus nem egy új ransomware-család, hanem a Beast legújabb átnevezett változata, amely maga is a Monster ransomware utódja. A kutatók a három család között jelentős kódazonosságot találtak, ezért közös fejlesztőhöz kötik őket, akit Hyadina néven követnek. A GodDamn első példányait 2026 májusában figyelték meg, az elemzett támadás pedig június elején történt. 

A támadók kezdeti hozzáférésre AnyDesk távoli adminisztrációs szoftvert használtak, majd egy NirSoft eszközökre épülő hitelesítőadat-gyűjtő csomaggal jelszavakat és egyéb hozzáférési adatokat loptak. A végpontvédelmi rendszzerek kiiktatására egy Symantec terméknek álcázott felhasználói módú (user-mode) eszközt, valamint a PoisonXkernelmeghajtót alkalmazták. A rosszindulatú illesztőprogram lehetővé tette a biztonsági szoftverek leállítását és a védelem megkerülését, mielőtt a ransomware titkosította volna a fájlokat. 

A korábbi malware-ek átnevezésével és kisebb technikai módosításaival próbálják megnehezíteni az attribúciót és megkerülni a felismerést, miközben a támadási módszerek – legitim távoli adminisztrációs eszközök, hitelesítőadat-lopás és kernel-szintű védelemkikerülés – lényegében változatlanok maradnak.

FORRÁS