SecBoard
Zurück zur Übersicht

GodDamn Ransomware Uses PoisonX Driver to Disable Endpoint Defenses

The Hacker News·
Originalartikel lesen bei The Hacker News

Die neue "GodDamn" nutzt den PoisonX Kernel-Treiber, um Sicherheitssoftware zu deaktivieren und so Endpunktsysteme anzugreifen. Betroffen sind Unternehmen und Einzelpersonen, deren Systeme durch diese Methode verwundbar werden. Es wird dringend empfohlen, Sicherheitssysteme zu überprüfen und auf dem neuesten Stand zu halten, um sich vor dieser Bedrohung zu schützen.

Kurzfassung

Die neue Ransomware "GodDamn", eine Umbenennung der Beast-Ransomware, nutzt den PoisonX Kernel-Treiber, um Endpunktsicherheitssoftware zu deaktivieren. Dieser Treiber ermöglicht es der Ransomware, Verteidigungsmechanismen zu umgehen und Systeme anzugreifen. Organisationen und Einzelpersonen sind betroffen, deren Sicherheitssysteme durch diese Methode verwundbar werden.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Unternehmen und Einzelpersonen, deren Endpunktsysteme durch Sicherheitssoftware geschützt sind, die durch den PoisonX Kernel-Treiber deaktiviert werden kann.

Warum relevant

Die Nutzung eines Kernel-Treibers zur Deaktivierung von Sicherheitssoftware stellt eine fortgeschrittene Umgehungstechnik dar, die herkömmliche Endpunktschutzmaßnahmen unwirksam machen kann. Dies erhöht das Risiko einer erfolgreichen Ransomware-Infektion erheblich.

Realistisches Worst Case

Erfolgreiche Deaktivierung der Endpunktsicherheitssoftware, gefolgt von einer Ransomware-Infektion, die zu Datenverschlüsselung und Betriebsunterbrechungen führt.

Handlungsempfehlung

Überprüfung und Aktualisierung aller Sicherheitssysteme, insbesondere des Endpunktschutzes, um die Erkennung und Abwehr von Kernel-Treibern wie PoisonX zu gewährleisten. Zusätzliche Verteidigungsschichten gegen Kernel-Level-Angriffe sollten in Betracht gezogen werden.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie, ob Ihre Endpunktsicherheitslösungen die Erkennung und Blockierung von unbekannten oder bösartigen Kernel-Treibern (wie PoisonX) unterstützen und aktiviert haben.
  • Validieren Sie, dass Ihre Systeme über eine aktuelle Signaturdatenbank für Endpunktschutz verfügen, die bekannte Varianten von GodDamn/Beast Ransomware und zugehörige Treiber erkennt.
  • Testen Sie die Integrität Ihrer Kernel-Module und Treiber, um unautorisierte Installationen oder Änderungen zu identifizieren.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Defense EvasionT1562.001 Disable or Modify Tools: Disable Security ToolsHighDie neue Ransomware "GodDamn" nutzt den PoisonX Kernel-Treiber, um Sicherheitssoftware zu deaktivieren
Defense EvasionT1543.003 Create or Modify System Process: Windows ServiceLownutzt den PoisonX Kernel-Treiber
Offene Punkte
  • Spezifische Versionen oder Hersteller von Endpunktsicherheitssoftware, die von PoisonX betroffen sind, werden nicht genannt.
  • Die genaue Methode, wie der PoisonX-Treiber auf die Systeme gelangt, wird nicht beschrieben.
  • Es werden keine spezifischen Indikatoren für Kompromittierung (IOCs) genannt.
  • Die geografische Verbreitung oder die primären Angriffsvektoren werden nicht spezifiziert.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Ja
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Ja

Kundenfragen

  • Können wir Reconnaissance detektieren?

MITRE ATT&CK Kill Chain (1 Techniken)

Reconnaissance