GodDamn Ransomware Uses PoisonX Driver to Disable Endpoint Defenses
Die neue Ransomware "GodDamn" nutzt den PoisonX Kernel-Treiber, um Sicherheitssoftware zu deaktivieren und so Endpunktsysteme anzugreifen. Betroffen sind Unternehmen und Einzelpersonen, deren Systeme durch diese Methode verwundbar werden. Es wird dringend empfohlen, Sicherheitssysteme zu überprüfen und auf dem neuesten Stand zu halten, um sich vor dieser Bedrohung zu schützen.
Die neue Ransomware "GodDamn", eine Umbenennung der Beast-Ransomware, nutzt den PoisonX Kernel-Treiber, um Endpunktsicherheitssoftware zu deaktivieren. Dieser Treiber ermöglicht es der Ransomware, Verteidigungsmechanismen zu umgehen und Systeme anzugreifen. Organisationen und Einzelpersonen sind betroffen, deren Sicherheitssysteme durch diese Methode verwundbar werden.
Unternehmen und Einzelpersonen, deren Endpunktsysteme durch Sicherheitssoftware geschützt sind, die durch den PoisonX Kernel-Treiber deaktiviert werden kann.
Die Nutzung eines Kernel-Treibers zur Deaktivierung von Sicherheitssoftware stellt eine fortgeschrittene Umgehungstechnik dar, die herkömmliche Endpunktschutzmaßnahmen unwirksam machen kann. Dies erhöht das Risiko einer erfolgreichen Ransomware-Infektion erheblich.
Erfolgreiche Deaktivierung der Endpunktsicherheitssoftware, gefolgt von einer Ransomware-Infektion, die zu Datenverschlüsselung und Betriebsunterbrechungen führt.
Überprüfung und Aktualisierung aller Sicherheitssysteme, insbesondere des Endpunktschutzes, um die Erkennung und Abwehr von Kernel-Treibern wie PoisonX zu gewährleisten. Zusätzliche Verteidigungsschichten gegen Kernel-Level-Angriffe sollten in Betracht gezogen werden.
- ▸Überprüfen Sie, ob Ihre Endpunktsicherheitslösungen die Erkennung und Blockierung von unbekannten oder bösartigen Kernel-Treibern (wie PoisonX) unterstützen und aktiviert haben.
- ▸Validieren Sie, dass Ihre Systeme über eine aktuelle Signaturdatenbank für Endpunktschutz verfügen, die bekannte Varianten von GodDamn/Beast Ransomware und zugehörige Treiber erkennt.
- ▸Testen Sie die Integrität Ihrer Kernel-Module und Treiber, um unautorisierte Installationen oder Änderungen zu identifizieren.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Defense Evasion | T1562.001 Disable or Modify Tools: Disable Security Tools | High | Die neue Ransomware "GodDamn" nutzt den PoisonX Kernel-Treiber, um Sicherheitssoftware zu deaktivieren |
| Defense Evasion | T1543.003 Create or Modify System Process: Windows Service | Low | nutzt den PoisonX Kernel-Treiber |
- Spezifische Versionen oder Hersteller von Endpunktsicherheitssoftware, die von PoisonX betroffen sind, werden nicht genannt.
- Die genaue Methode, wie der PoisonX-Treiber auf die Systeme gelangt, wird nicht beschrieben.
- Es werden keine spezifischen Indikatoren für Kompromittierung (IOCs) genannt.
- Die geografische Verbreitung oder die primären Angriffsvektoren werden nicht spezifiziert.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Unklar
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Ja
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Ja
Kundenfragen
- Können wir Reconnaissance detektieren?