SecBoard
Zurück zur Übersicht

'GodDamn' Ransomware Uses BYOVD to Smite US Companies

Dark Reading·
Originalartikel lesen bei Dark Reading

Die neue „GodDamn“-Ransomware nutzt einen von Microsoft mitzertifizierten Kernel-Treiber, um Sicherheitssoftware zu deaktivieren. US-Unternehmen sind betroffen und sollten ihre Systeme auf verdächtige Aktivitäten überprüfen sowie Patches zeitnah einspielen.

Kurzfassung

Die neue „GodDamn“-Ransomware nutzt einen von Microsoft mitzertifizierten Kernel-Treiber, um Sicherheitssoftware zu deaktivieren. Dieser BYOVD-Angriff betrifft hauptsächlich US-Unternehmen. Organisationen sollten ihre Sicherheitsprotokolle aktualisieren und sicherstellen, dass alle Treiber legitim und aktuell sind.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

US-Unternehmen sind betroffen.

Warum relevant

Die Ransomware nutzt einen von Microsoft mitzertifizierten Kernel-Treiber, um Sicherheitssoftware zu deaktivieren, was die Erkennung und Abwehr erschwert. Dies stellt eine erhebliche Bedrohung für die Integrität der Sicherheitssysteme dar.

Realistisches Worst Case

Erfolgreiche Deaktivierung der Sicherheitssoftware, gefolgt von einer Ransomware-Infektion, die zu Datenverschlüsselung und Betriebsunterbrechungen führt.

Handlungsempfehlung

Überprüfen Sie Systeme auf verdächtige Aktivitäten, spielen Sie Patches zeitnah ein und stellen Sie sicher, dass alle Treiber legitim und aktuell sind.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie Systemprotokolle auf ungewöhnliche Treiberinstallationen oder Versuche, Sicherheitssoftware zu deaktivieren.
  • Stellen Sie sicher, dass alle Systeme mit den neuesten Sicherheitspatches und Treiber-Updates versehen sind.
  • Validieren Sie die Integrität und Legitimität aller auf Ihren Systemen installierten Kernel-Treiber.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Defense EvasionT1562.001 Impair Defenses: Disable or Modify ToolsHighnutzt einen von Microsoft mitzertifizierten Kernel-Treiber, um Sicherheitssoftware zu deaktivieren
Defense EvasionT1562.006 Impair Defenses: Indicator BlockingLownutzt einen von Microsoft mitzertifizierten Kernel-Treiber, um Sicherheitssoftware zu deaktivieren
Defense EvasionT1543.003 Create or Modify System Process: Windows ServiceLownutzt einen von Microsoft mitzertifizierten Kernel-Treiber
Offene Punkte
  • Der genaue Name des ausgenutzten Kernel-Treibers wird im Artikel nicht genannt.
  • Spezifische Branchen oder Sektoren innerhalb der US-Unternehmen werden nicht genannt.
  • Die genaue Methode der Erstinfektion wird nicht beschrieben.
  • Die spezifischen Ransomware-Forderungen oder die Art der Verschlüsselung werden nicht genannt.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Ja
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Ja

Kundenfragen

  • Können wir Reconnaissance detektieren?

MITRE ATT&CK Kill Chain (1 Techniken)

Reconnaissance