'GodDamn' Ransomware Uses BYOVD to Smite US Companies
Die neue „GodDamn“-Ransomware nutzt einen von Microsoft mitzertifizierten Kernel-Treiber, um Sicherheitssoftware zu deaktivieren. US-Unternehmen sind betroffen und sollten ihre Systeme auf verdächtige Aktivitäten überprüfen sowie Patches zeitnah einspielen.
Die neue „GodDamn“-Ransomware nutzt einen von Microsoft mitzertifizierten Kernel-Treiber, um Sicherheitssoftware zu deaktivieren. Dieser BYOVD-Angriff betrifft hauptsächlich US-Unternehmen. Organisationen sollten ihre Sicherheitsprotokolle aktualisieren und sicherstellen, dass alle Treiber legitim und aktuell sind.
US-Unternehmen sind betroffen.
Die Ransomware nutzt einen von Microsoft mitzertifizierten Kernel-Treiber, um Sicherheitssoftware zu deaktivieren, was die Erkennung und Abwehr erschwert. Dies stellt eine erhebliche Bedrohung für die Integrität der Sicherheitssysteme dar.
Erfolgreiche Deaktivierung der Sicherheitssoftware, gefolgt von einer Ransomware-Infektion, die zu Datenverschlüsselung und Betriebsunterbrechungen führt.
Überprüfen Sie Systeme auf verdächtige Aktivitäten, spielen Sie Patches zeitnah ein und stellen Sie sicher, dass alle Treiber legitim und aktuell sind.
- ▸Überprüfen Sie Systemprotokolle auf ungewöhnliche Treiberinstallationen oder Versuche, Sicherheitssoftware zu deaktivieren.
- ▸Stellen Sie sicher, dass alle Systeme mit den neuesten Sicherheitspatches und Treiber-Updates versehen sind.
- ▸Validieren Sie die Integrität und Legitimität aller auf Ihren Systemen installierten Kernel-Treiber.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Defense Evasion | T1562.001 Impair Defenses: Disable or Modify Tools | High | nutzt einen von Microsoft mitzertifizierten Kernel-Treiber, um Sicherheitssoftware zu deaktivieren |
| Defense Evasion | T1562.006 Impair Defenses: Indicator Blocking | Low | nutzt einen von Microsoft mitzertifizierten Kernel-Treiber, um Sicherheitssoftware zu deaktivieren |
| Defense Evasion | T1543.003 Create or Modify System Process: Windows Service | Low | nutzt einen von Microsoft mitzertifizierten Kernel-Treiber |
- Der genaue Name des ausgenutzten Kernel-Treibers wird im Artikel nicht genannt.
- Spezifische Branchen oder Sektoren innerhalb der US-Unternehmen werden nicht genannt.
- Die genaue Methode der Erstinfektion wird nicht beschrieben.
- Die spezifischen Ransomware-Forderungen oder die Art der Verschlüsselung werden nicht genannt.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Unklar
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Ja
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Ja
Kundenfragen
- Können wir Reconnaissance detektieren?