GodDamn: el nuevo ransomware que desactiva antivirus con PoisonX

Iniciado por Dragora, Julio 09, 2026, 07:46:57 PM

Tema anterior - Siguiente tema

0 Miembros y 3 Visitantes están viendo este tema.


La evolución del ransomware continúa elevando el nivel de sofisticación de los ataques dirigidos contra organizaciones de todo el mundo. Investigadores en ciberseguridad han identificado una nueva familia de ransomware denominada GodDamn, una amenaza que destaca por incorporar avanzadas técnicas de evasión defensiva mediante el uso del controlador de núcleo PoisonX, diseñado para inutilizar soluciones de seguridad antes de cifrar los sistemas comprometidos.

El hallazgo, documentado por el equipo Threat Hunter de Symantec, revela que este ransomware no solo representa una evolución técnica respecto a campañas anteriores, sino que también evidencia cómo los grupos criminales continúan perfeccionando sus herramientas para superar las defensas de antivirus y plataformas de Endpoint Detection and Response (EDR).

La incorporación de un controlador malicioso firmado por Microsoft y la utilización de la técnica Bring Your Own Vulnerable Driver (BYOVD) convierten a GodDamn en una de las amenazas de ransomware más avanzadas detectadas durante 2026.

GodDamn: la evolución del ransomware Beast y Monster

Según el informe publicado por Symantec, GodDamn fue observado por primera vez en ataques reales el 21 de mayo de 2026.

Los investigadores atribuyen su desarrollo al actor de amenazas identificado como Hyadina, un grupo que previamente estuvo vinculado al ransomware Monster, descubierto en marzo de 2022 y desarrollado en Delphi.

Posteriormente, Monster evolucionó hacia Beast Ransomware, incorporando mejoras en sus mecanismos de cifrado, propagación y evasión. Ahora, GodDamn representa una nueva fase de esta familia de malware, incorporando capacidades mucho más agresivas para neutralizar herramientas de seguridad antes de ejecutar el proceso de cifrado.

Esta evolución demuestra cómo los operadores de ransomware reutilizan y perfeccionan continuamente código existente para incrementar la eficacia de sus campañas.

PoisonX: el controlador que desactiva antivirus desde el núcleo de Windows

Uno de los aspectos más preocupantes de GodDamn es la utilización del controlador PoisonX (g11.sys).

A diferencia de muchas campañas anteriores que explotaban controladores vulnerables pertenecientes a fabricantes legítimos, PoisonX parece tratarse de un controlador malicioso que consiguió ser firmado digitalmente, permitiendo que Windows lo cargue como si fuera un componente confiable.

Este detalle representa una importante preocupación para la comunidad de ciberseguridad.

Una vez ejecutado con privilegios de administrador, PoisonX obtiene acceso al núcleo del sistema operativo y puede manipular procesos críticos relacionados con la seguridad.

Entre sus capacidades destacan:

  • Finalizar procesos pertenecientes a antivirus.
  • Desactivar plataformas EDR.
  • Alterar privilegios internos de agentes de seguridad.
  • Manipular estructuras del kernel.
  • Impedir que las soluciones de protección reciban eventos del sistema.
  • Facilitar la ejecución del ransomware sin ser detectado.

Al operar a nivel del kernel, las herramientas tradicionales de seguridad encuentran enormes dificultades para impedir su funcionamiento.

La técnica BYOVD continúa creciendo

GodDamn utiliza una técnica conocida como Bring Your Own Vulnerable Driver (BYOVD).

Este método consiste en introducir dentro del sistema un controlador firmado digitalmente que contiene vulnerabilidades o funcionalidades maliciosas capaces de otorgar control sobre el sistema operativo.

Según Broadcom, los atacantes aprovechan que Windows confía automáticamente en los controladores firmados.

Una vez cargado el driver:

  • El sistema operativo le concede privilegios elevados.
  • Puede modificar procesos protegidos.
  • Tiene acceso directo al kernel.
  • Puede inutilizar mecanismos de seguridad sin generar alertas visibles.

Los ataques BYOVD se han convertido en una de las principales preocupaciones para fabricantes de soluciones EDR, ya que permiten neutralizar prácticamente cualquier defensa antes de iniciar el cifrado de archivos.

Cómo comienza el ataque

Aunque el vector inicial de compromiso aún no ha sido determinado, Symantec logró reconstruir gran parte de la cadena de ataque observada durante una intrusión ocurrida a principios de junio de 2026.

Los atacantes emplearon AnyDesk para mantener acceso remoto persistente a los sistemas comprometidos.

Antes de desplegar el ransomware ejecutaron diversas herramientas destinadas al robo de credenciales, principalmente aplicaciones desarrolladas por NirSoft, ampliamente conocidas entre administradores de sistemas, pero frecuentemente utilizadas por actores maliciosos.

Estas herramientas fueron capaces de recopilar información extremadamente sensible, incluyendo:

  • Contraseñas almacenadas en navegadores.
  • Credenciales del Administrador de Credenciales de Windows.
  • Credenciales de dominio almacenadas en caché.
  • Configuraciones Wi-Fi.
  • Sesiones VNC activas.
  • Clientes de correo electrónico.
  • Captura de tráfico de red en tiempo real.

Toda esta información facilita el movimiento lateral y la escalada de privilegios dentro de redes corporativas.

Uso de herramientas falsas para evadir las defensas

Otra característica relevante del ataque fue la utilización de una aplicación denominada symantec.exe, presentada como si perteneciera al fabricante de soluciones de seguridad Symantec.

En realidad, este ejecutable actuaba como herramienta de evasión en modo usuario y trabajaba conjuntamente con el controlador PoisonX para inutilizar los mecanismos de protección del endpoint.

La combinación de componentes en modo usuario y modo kernel incrementa considerablemente la eficacia del ataque, dificultando la detección incluso por soluciones avanzadas de seguridad.

Movimiento lateral mediante PsExec y AnyDesk

Una vez comprometido el primer equipo, los operadores de GodDamn comenzaron a expandirse por la infraestructura utilizando PsExec, una conocida herramienta de administración remota ampliamente empleada por administradores de sistemas.

Posteriormente instalaron AnyDesk en cada uno de los equipos accesibles.

Cada instalación fue configurada como un servicio de inicio automático de Windows, garantizando que el acceso remoto permaneciera disponible incluso después de reiniciar los dispositivos.

Symantec también detectó que, en varios sistemas, toda la configuración de AnyDesk era automatizada mediante scripts de PowerShell, lo que indica la existencia de un instalador reutilizable diseñado para acelerar el despliegue masivo dentro de redes comprometidas.

Según los investigadores, esta secuencia fue repetida en al menos diez equipos pertenecientes a la organización afectada antes de iniciar el cifrado de los datos.

El ransomware comienza el cifrado

El ransomware GodDamn fue detectado el 3 de junio de 2026 en un segmento diferente de la red perteneciente a otra unidad organizativa.

Durante campañas anteriores atribuidas a Hyadina, los archivos cifrados recibían la extensión .God8Damn.

Sin embargo, en este incidente los atacantes optaron por renombrar los archivos utilizando directamente el nombre de la organización víctima como extensión personalizada, una táctica utilizada para dificultar la identificación automática de la familia de ransomware.

Tras finalizar el cifrado, los atacantes dejaron una nota de rescate en la que solicitaban a la organización establecer contacto mediante correo electrónico o utilizando qTox, una plataforma de mensajería cifrada frecuentemente empleada por grupos de ransomware para preservar el anonimato de sus comunicaciones.

PoisonX también ha sido utilizado por otros grupos criminales

Los investigadores destacan que PoisonX no es exclusivo de GodDamn.

El controlador también ha sido identificado como parte de GentleKiller, una herramienta desarrollada por la operación de Ransomware-as-a-Service (RaaS) The Gentlemen.

En ese contexto, el controlador forma parte de un conjunto de ocho drivers utilizados para inutilizar antivirus y plataformas EDR antes de ejecutar el cifrado de archivos.

Este tipo de reutilización demuestra que las herramientas ofensivas más eficaces rápidamente comienzan a compartirse o comercializarse entre distintos grupos criminales.

Una amenaza que refleja la evolución del ransomware moderno

La aparición de GodDamn confirma una tendencia cada vez más evidente en el panorama de las amenazas: los operadores de ransomware ya no dependen únicamente del cifrado de archivos, sino que priorizan la desactivación completa de las defensas antes de ejecutar cualquier acción destructiva.

El uso de controladores firmados, ataques BYOVD, herramientas legítimas como PsExec y AnyDesk, scripts automatizados de PowerShell y sofisticados mecanismos de robo de credenciales demuestra un alto nivel de planificación y conocimiento técnico.

Para las organizaciones, este tipo de campañas refuerza la necesidad de adoptar una estrategia de defensa en profundidad que incluya control estricto de privilegios administrativos, monitoreo continuo de controladores cargados en el sistema, segmentación de redes, autenticación multifactor y soluciones EDR capaces de detectar comportamientos anómalos incluso cuando los atacantes intentan operar desde el núcleo del sistema operativo.

La evolución de GodDamn y el empleo del controlador malicioso PoisonX evidencian que los grupos de ransomware continúan innovando para superar las medidas tradicionales de seguridad, convirtiéndose en una de las amenazas más sofisticadas y peligrosas del panorama actual de la ciberseguridad.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login