Auf den Punkt: GodDamn-Ransomware deaktiviert Sicherheitssoftware mittels eines von Microsoft signierten Kernel-Treibers, was das Risiko erfolgreicher Angriffe deutlich erhöht.
Die Ransomware-Familie GodDamn setzt einen von Microsoft signierten Kernel-Treiber ein, um Sicherheitslösungen auf befallenen Systemen auszuschalten. Dies ermöglicht den Angreifern, ungehindert Daten zu verschlüsseln und zu exfiltrieren.
Die GodDamn-Ransomware nutzt ein Bring-Your-Own-Vulnerable-Driver-(BYOVD-)Verfahren mit einem legitimen, von Microsoft digital signierten Kernel-Treiber, um Schutzprogramme zu deaktivieren. Dadurch wird eine gängige Verteidigungsmassnahme gegen Schadsoftware wirkungslos gemacht: Der Windows-Kernel erlaubt dem Treiber, andere Prozesse und Sicherheits-Services zu beenden.
Für CISOs bedeutet diese Angriffsmethode eine erhebliche Erhöhung des Bedrohungsrisikos. Selbst moderne Endpoint-Detection-and-Response-(EDR-)Lösungen können gefährdet sein, wenn der Angreifer Administrator-Rechte erlangt hat und den signierten Treiber in das System einspielt. Die Legitimität des Treibers erschwert die Detektion erheblich, da traditionelle Reputation-basierte Schutzmassnamen ihn nicht als verdächtig kennzeichnen.
Betroffene Organisationen sollten ihre Privileged-Access-Management-(PAM-)Strategien überprüfen und Multi-Faktor-Authentifizierung sowie Segmentierung verstärken. Zudem empfiehlt sich eine Überprüfung von Kernel-Treiber-Ladevorgängen sowie die Nutzung von Driver-Block-Listen, sofern diese Technologie in der eigenen Infrastruktur verfügbar ist.
Quelle: www.darkreading.com · Erschienen 9. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.