Il 9 luglio 2026 il Threat Hunter Team di Symantec ha reso pubblico un attacco che sfida il modello di fiducia del kernel Windows: il ransomware GodDamn, rebrand della famiglia Hyadina, ha utilizzato il driver malevolo PoisonX — firmato con un certificato Microsoft Windows Hardware Compatibility Publisher — per disabilitare le protezioni endpoint prima della cifratura dei file. L'incidente, avvenuto tra maggio e giugno in una rete aziendale non identificata, dimostra che la tecnica BYOVD (Bring Your Own Vulnerable Driver) ha superato il confine dei driver legittimi difettosi: ora entrano in gioco componenti apparentemente creati per essere malevoli e dotati di firma valida.
- GodDamn è la rebrand di Beast ransomware, a sua volta evoluzione di Monster (marzo 2022); il gruppo è tracciato come Hyadina
- Il driver PoisonX (file g11.sys) è firmato con certificato Microsoft e può terminare processi di sicurezza nonché rimuovere hook API in user mode
- Un tool con filename 'symantec.exe' installa PoisonX nel system driver store dell'host compromesso
- Gli attaccanti hanno distribuito AnyDesk su almeno 10 host e usato PsExec per lateral movement, con un gap di 4 giorni tra prima attività osservata e rilevazione del ransomware
Il paradosso della firma: quando il certificato diventa arma
Il meccanismo centrale dell'attacco è l'abuso del modello di trust che regola il caricamento dei driver in Windows. Poiché il sistema operativo carica automaticamente i driver firmati da entità riconosciute, PoisonX ottiene accesso al kernel senza sollevare allarmi basati sulla reputazione del file. Symantec ha documentato che il driver, identificato come g11.sys con hash SHA-256 2d91a78e739891c9854c254f5b2a6b84c0e167dfa253466cbccd2cdd1c20145d, può terminare processi di prodotti di sicurezza e rimuovere hook API in user mode, rendendo l'endpoint cieco al successivo deploy del payload ransomware.
La novità rispetto al BYOVD classico è sostanziale. Nella variante tradizionale, documentata ampiamente nel settore, gli attaccanti abusano driver legittimi vulnerabili già presenti nel sistema o scaricabili pubblicamente. PoisonX, invece, "appare essere un driver malevolo che i suoi sviluppatori sono riusciti a far firmare da Microsoft", come ha dichiarato il Symantec Threat Hunter Team. Questo sposta il problema dalla gestione delle patch e delle blocklist a una questione di integrità del processo di certificazione stesso.
Timeline di un'infiltrazione: 4 giorni di dwell time
L'analisi di Symantec ricostruisce una cronologia precisa. L'attività malevola più antica osservata nell'organizzazione target risale al 29 maggio 2026. Entro il 2 giugno gli attaccanti avevano distribuito AnyDesk su almeno 10 host nella rete, usando PsExec per il movimento laterale. Il ransomware GodDamn è stato rilevato il 3 giugno su un segmento di rete separato, con un intervallo di 4 giorni che Symantec interpreta come dwell time — il periodo in cui gli operatori mantengono l'accesso senza attivare il payload finale.
Durante questa fase, gli attaccanti hanno operato una raccolta sistematica di credenziali tramite un toolkit composto da 14 tool basati su utilità NirSoft, tra cui Mimikatz, WebBrowserPassView, ChromePass, PasswordFox, MessengerPass, VNCPassView, MailPassView, SniffPass, OperaPassView, CredentialsFileView, WirelessKeyView, ExtPassword, PSTPassword, NetPass, più l'aggiunta di Netscan.exe. Questo arsenale di harvesting ha evidentemente alimentato la capacità di propagazione orizzontale all'interno dell'infrastruttura.
Persistenza e accesso remoto: la catena di compromissione
AnyDesk non è stato il vettore di accesso iniziale, come talvolta riportato in modo impreciso, ma uno strumento di persistenza e accesso remoto installato successivamente. Symantec ha documentato i comandi PowerShell usati per la configurazione: il parametro ad.security.interactive_access=2 abilita l'accesso senza consenso locale, mentre il binario è stato registrato come servizio auto-start con i nomi 'AnyDeskService' e 'AnyDesk_D', entrambi puntanti allo stesso eseguibile su drive D:.
Il tool di evasione difese, ironcamente rinominato 'symantec.exe' (SHA-256: b29f91a440527fb621d106a2048f6379fff3263c60aeda9c82ff8c1d5ae880a8), ha il compito specifico di collocare PoisonX nel system driver store di Windows, abilitandone il caricamento automatico al boot successivo. Questa catena — accesso iniziale non identificato, raccolta credenziali, distribuzione remote desktop, installazione driver malevolo, disabilitazione difese, cifratura — rappresenta un playbook maturo e sequenzialmente rigoroso.
"GodDamn's use of the relatively newly discovered PoisonX malicious driver component represents an escalation in defensive evasion capability by this group, indicating that Hyadina is continuing to actively develop its ransomware and its capabilities"
— Symantec Threat Hunter Team
PoisonX non è esclusivo: un componente condiviso nell'ecosistema RaaS
Un dato che complica il quadro attribuzionale: PoisonX è stato rilevato anche nell'arsenale di The Gentlemen, un'operazione ransomware-as-a-service, nel tool denominato GentleKiller. Questa sovrapposizione solleva interrogativi che al momento non trovano risposta nel dossier Symantec: PoisonX è stato sviluppato internamente da Hyadina e poi commercializzato, oppure acquistato in un marketplace di componenti specializzati? La fonte non specifica il rapporto tra i due gruppi, né se il driver sia il prodotto di una supply chain condivisa di tool per l'evasione delle difese.
Ciò che emerge con chiarezza è la tendenza del settore RaaS a modularizzare l'attacco. Gli EDR killer — componenti dedicati alla disabilitazione delle difese — si stanno separando dal payload ransomware vero e proprio, diventando prodotti autonomi che abbassano la barriera all'ingresso per affiliati meno qualificati. GodDamn non necessita di operatori in grado di sviluppare driver kernel: ne scarica uno pronto all'uso, con firma valida e funzionalità documentate.
Perché è importante
Il dossier Symantec non documenta come i developer di PoisonX abbiano ottenuto la firma Microsoft, né se il certificato sia stato revocato. Metodi ipotizzati nel settore includono il furto di identità aziendale o l'exploitation di processi di certificazione di terze parti, ma questi scenari non sono confermati dalla fonte. Il numero esatto di vittime di GodDamn rimane sconosciuto: è noto in dettaglio un solo incidente, quello analizzato nel report.
Il brief non specifica misure correttive indicate dal vendor né raccomandazioni operative dirette. Non è documentato se Microsoft abbia riconosciuto pubblicamente la compromissione del processo di certificazione o annunciato revisioni al programma WHCP. L'estensione dei file cifrati, che nell'incidente analizzato utilizza il nome della vittima anziché la tipica '.God8Damn', non è qualificata come novità assoluta o variante specifica: il dossier non chiarisce se questa sia una caratteristica stabile del ransomware o una personalizzazione limitata a questo attacco.
Il contesto tecnico più ampio, tratto dal whitepaper Symantec sul BYOVD, rimarca una verità operativa: i driver firmati sono "la via più affidabile per l'attaccante" perché Windows li carica automaticamente, e l'azione più comune è "uccidere i processi appartenenti a prodotti antivirus o EDR, spogliando la macchina delle sue difese". Questo meccanismo, applicato a un driver apparentemente creato per essere malevolo piuttosto che semplicemente vulnerabile, espone un punto cieco architetturale che le blocklist di driver noti non possono coprire.
Lettura: oltre la blocklist
L'evoluzione da BYOVD a BYOMD — Bring Your Own Malicious Driver — segnala un cambiamento qualitativo. Le difese basate su cataloghi di driver vulnerabili, ampiamente adottate negli ultimi anni, presuppongono che il problema sia la vulnerabilità di componenti legittimi. Quando il driver è malevolo per design e comunque firmato, la detection per reputazione del file diviene inadeguata. Il campo si sposta verso il monitoraggio comportamentale delle interazioni driver-kernel, in particolare delle IOCTL anomale, come unico approccio tecnicamente coerente con la minaccia documentata.
Per i team di sicurezza, l'incidente GodDamn rappresenta un caso studio sulla velocità di rebrand nel ransomware: Monster, Beast, GodDamn, tutti Hyadina, tutti con significativa sovrapposizione di codice. La continuità dello sviluppatore, rilevata da Symantec attraverso l'analisi del codice, indica che le famiglie ransomware non muoiono ma mutano pelle, spesso nel giro di mesi, conservando e affinando le capacità di evasione.
Le informazioni sono basate sull'advisory citato e aggiornate al momento della pubblicazione.
Fonti
- https://www.infosecurity-magazine.com/news/ransomware-removes-cybersecurity/
- https://cyberpress.org/ransomware-abuses-signed-drivers/
- https://thehackernews.com/2026/07/goddamn-ransomware-uses-poisonx-driver.html
- https://thehackernews.com/2026/03/54-edr-killers-use-byovd-to-exploit-34.html
- https://www.welivesecurity.com/en/eset-research/edr-killers-explained-beyond-the-drivers/
- https://www.security.com/threat-intelligence/goddamn-ransomware-beast-rebrand
- https://www.security.com/threat-intelligence/byovd-vulnerable-drivers
- https://www.welivesecurity.com/en/eset-research/shifting-sands-ransomhub-edrkillshifter/
- https://www.welivesecurity.com/en/eset-research/embargo-ransomware-rocknrust/
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.