GodDamn Ransomware: Nguy hiểm với Trình điều khiển Kernel

GodDamn Ransomware: Nguy hiểm với Trình điều khiển Kernel

GodDamn ransomware đã nổi lên như một mối đe dọa nghiêm trọng, đánh dấu lần tái thương hiệu thứ ba của một họ mã độc đã âm thầm phát triển từ năm 2022. Điểm khác biệt của biến thể này không chỉ nằm ở khả năng mã hóa mà còn ở trình điều khiển kernel độc hại mà nó sử dụng để vô hiệu hóa các công cụ bảo mật trước khi cuộc tấn công bắt đầu. Sự kết hợp giữa tính ẩn mình và khả năng duy trì sự hiện diện này cho phép kẻ tấn công di chuyển trong mạng lưới với tốc độ đáng báo động.

Lịch sử phát triển và tái thương hiệu

Phân tích từ Symantec đã xác định mối liên hệ giữa GodDamn và các phiên bản tiền nhiệm của nó, lần theo một dòng dõi trực tiếp quay trở lại mã độc ransomware Monster được quan sát lần đầu tiên vào năm 2022. Nhóm Threat Hunter thuộc Symantec và Carbon Black báo cáo rằng nhà phát triển đằng sau các họ ransomware này, được theo dõi là Hyadina, tiếp tục tinh chỉnh các công cụ của mình qua mỗi lần tái thương hiệu.

Monster Ransomware (2022)

GodDamn bắt nguồn từ Monster, một biến thể ransomware được viết bằng Delphi xuất hiện lần đầu vào tháng 3 năm 2022, nhắm mục tiêu các hệ thống Windows 32-bit và tránh các máy tính trong Khối thịnh vượng chung các Quốc gia Độc lập. Hyadina vận hành Monster như một hoạt động ransomware dưới dạng dịch vụ, hợp tác với các đối tác sử dụng Mimikatz và một loạt các công cụ khôi phục mật khẩu NirSoft.

Beast Ransomware (2024)

Vào tháng 6 năm 2024, nhóm này tái thương hiệu thành Beast, mở rộng hỗ trợ cho các hệ thống Linux và VMware ESXi, đồng thời cải thiện chính quy trình mã hóa. Beast cũng giới thiệu hỗ trợ đa ngôn ngữ, bao gồm tiếng Trung, cho thấy kẻ tấn công đang mở rộng phạm vi nạn nhân của chúng vượt ra ngoài những giới hạn trước đây. Đến năm 2025, các cuộc tấn công Beast đã tích hợp các công cụ mới như trình quét rootkit Gmer để chấm dứt tiến trình, Defender Control để vô hiệu hóa Windows Defender và IObit Unlocker để giải phóng các tệp bị khóa.

GodDamn Ransomware (Hiện tại)

GodDamn tiếp tục mô hình này, và trong một số trường hợp đổi tên các tệp đã mã hóa bằng phần mở rộng .God8Damn, mặc dù trong trường hợp được điều tra, các tệp đã được đổi tên bằng tên của tổ chức nạn nhân.

Phương thức tấn công và kỹ thuật ẩn mình

Những kẻ tấn công GodDamn dựa vào một quy trình quen thuộc bao gồm các công cụ truy cập từ xa, tiện ích đánh cắp thông tin xác thực và các kỹ thuật di chuyển ngang. Tuy nhiên, chúng đã bổ sung một lớp phòng thủ nguy hiểm: vô hiệu hóa các công cụ bảo mật. Bằng cách triển khai một trình điều khiển kernel hợp lệ nhưng độc hại cùng với một công cụ bảo mật giả mạo, chúng vô hiệu hóa các biện pháp bảo vệ ở cấp độ kernel, khó phát hiện hơn nhiều so với hành vi độc hại thông thường.

Sử dụng trình điều khiển kernel độc hại (PoisonX)

Điểm đáng chú ý nhất trong các cuộc tấn công của GodDamn là trình điều khiển kernel PoisonX. Trình điều khiển này lần đầu tiên được ghi nhận vào đầu năm 2026, khi nó được sử dụng để chấm dứt dịch vụ CrowdStrike Falcon thông qua một lệnh được tạo và gửi đến giao diện ẩn của nó. Do trình điều khiển mang chữ ký Microsoft hợp lệ, nó xuất hiện đáng tin cậy đối với hệ điều hành bất chấp mục đích độc hại của nó. Đây không phải là một kịch bản mang-trình-điều-khiển-dễ-bị-tổn-thương-của-bạn (BYOVD) điển hình, nơi kẻ tấn công khai thác một lỗ hổng trong phần mềm hiện có.

Thay vào đó, PoisonX dường như được xây dựng đặc biệt cho mục đích sử dụng độc hại và bằng cách nào đó đã có được chữ ký Microsoft hợp lệ. Điều này cho phép nó chấm dứt các tiến trình bảo mật và loại bỏ các móc bảo vệ ở cấp độ kernel. Trong cuộc tấn công được điều tra, trình điều khiển này được triển khai cùng với một tệp giả mạo có tên symantec.exe, được thiết kế để giả mạo một sản phẩm bảo mật đáng tin cậy trong khi âm thầm vô hiệu hóa khả năng giám sát thời gian thực của Windows Defender.

Quy trình tấn công

Kẻ tấn công sau đó sử dụng PsExec để đẩy các lệnh qua mạng, cài đặt AnyDesk trên nhiều máy chủ để truy cập liên tục và khởi chạy tệp nhị phân ransomware. Khoảng thời gian bốn ngày giữa lần truy cập ban đầu và quá trình mã hóa cho thấy nhóm đã sử dụng thời gian này để do thám, thu thập thông tin xác thực hoặc đánh cắp dữ liệu.

Tác động và Khả năng phát hiện

Tác động của hoạt động này rất đáng kể đối với tổ chức bị nhắm mục tiêu trong sự cố được điều tra. Kẻ tấn công đã giành được quyền kiểm soát trên một máy và lây lan sang ít nhất mười máy chủ trước khi triển khai ransomware. Điều này nhấn mạnh tầm quan trọng của việc phát hiện xâm nhập sớm và hiệu quả.

Chỉ số xâm phạm (IoCs)

Dưới đây là các chỉ số xâm phạm được xác định:

  • IP Addresses: [.]
  • Domains: [.]

Lưu ý: Địa chỉ IP và tên miền được làm mờ (ví dụ: [.]) để tránh phân giải hoặc tạo siêu liên kết ngẫu nhiên. Chỉ mở khóa trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.

Khuyến nghị phòng ngừa và giảm thiểu rủi ro

Do sự tinh vi của bộ công cụ này, các tổ chức nên chú ý đến việc cài đặt trình điều khiển kernel trái phép, hạn chế các công cụ như AnyDesk với các cấu hình đã được phê duyệt và cập nhật phát hiện điểm cuối chống lại các kỹ thuật kiểu BYOVD. Việc xem xét Bản tin Bảo mật Symantec cho các chữ ký phát hiện mới nhất cũng được khuyến nghị cho các nhóm phòng thủ chống lại mối đe dọa này. Tích hợp nguồn cấp dữ liệu mối đe dọa trực tiếp từ 15.000 nhóm SOC có thể giúp ngăn chặn các sự cố nghiêm trọng và tổn thất tài chính với khả năng phòng thủ chủ động mạnh mẽ hơn.

Nghiên cứu thêm về các kỹ thuật tương tự có thể được tìm thấy trong các bản tin bảo mật từ các nguồn đáng tin cậy như CISA.