O ransomware GodDamn representa uma nova fase dos ataques contra ambientes corporativos ao explorar uma técnica capaz de atingir diretamente o núcleo dos sistemas Windows. Em vez de simplesmente tentar escapar dos antivírus tradicionais, os criminosos passaram a atacar a própria camada de confiança do sistema operacional usando um driver com assinatura digital legítima.
A ameaça combina ransomware, evasão de ferramentas EDR/antivírus e a técnica BYOVD (Bring Your Own Vulnerable Driver), permitindo que invasores desativem mecanismos de proteção antes de iniciar a criptografia dos arquivos.
A descoberta chamou atenção das equipes de segurança da Symantec/Broadcom e da CYFIRMA, que identificaram a evolução de uma família de ransomware associada ao grupo rastreado como Hyadina. O caso mostra como grupos criminosos estão investindo em métodos mais sofisticados para ultrapassar barreiras modernas de defesa.
A evolução da ameaça: do Monster ao ransomware GodDamn
O caminho até o surgimento do ransomware GodDamn revela uma operação criminosa em constante evolução. Segundo análises de pesquisadores de segurança, a linhagem começou com o ransomware Monster, identificado inicialmente em março de 2022.
Com o passar do tempo, o grupo Hyadina aprimorou sua infraestrutura, modificando ferramentas internas, técnicas de persistência e métodos de evasão. A evolução resultou no surgimento do Beast, uma variante intermediária que incorporou melhorias no processo de ataque.
Em maio de 2026, a operação chegou a uma nova etapa com o aparecimento do GodDamn, uma versão mais avançada que adicionou recursos focados em impedir a resposta dos sistemas de segurança.
O diferencial da nova variante está no uso do driver PoisonX, uma ferramenta criada para interferir diretamente no funcionamento de soluções de proteção instaladas no computador.
Enquanto versões anteriores dependiam principalmente de roubo de credenciais, exploração de acesso remoto ou engenharia social, o novo ransomware aposta em uma abordagem mais agressiva: atacar os próprios mecanismos responsáveis por impedir a infecção.

O ransomware GodDamn e o mistério do driver PoisonX usado no ataque BYOVD
A técnica BYOVD (Bring Your Own Vulnerable Driver), traduzida como “traga seu próprio driver vulnerável”, tornou-se uma das estratégias mais preocupantes da segurança cibernética moderna.
O conceito é relativamente simples: o atacante utiliza um driver legítimo, porém vulnerável, para obter acesso privilegiado dentro do sistema operacional.
Drivers funcionam como uma ponte entre o hardware e o kernel do Windows, que é a parte mais sensível do sistema. Diferentemente de aplicativos comuns, um driver executa com privilégios elevados e pode realizar operações profundas.
No caso do ataque envolvendo o GodDamn, os criminosos utilizam o driver identificado como g11.sys, associado ao PoisonX, para obter controle suficiente sobre componentes de segurança.
O processo normalmente exige que o invasor já tenha algum nível de acesso administrativo ao equipamento. Depois dessa etapa, o driver é carregado e passa a atuar como uma ferramenta de sabotagem contra as defesas instaladas.
Como o PoisonX neutraliza antivírus e EDRs
O principal objetivo do PoisonX é criar uma espécie de “cegueira” nos sistemas de proteção.
Ferramentas modernas de segurança, conhecidas como EDR (Endpoint Detection and Response), monitoram processos, arquivos, comportamentos suspeitos e alterações no sistema.
Entretanto, quando um driver com privilégios de kernel consegue interferir nessas soluções, o cenário muda completamente.
Entre as ações atribuídas ao driver estão:
- Encerramento de processos de antivírus e ferramentas EDR;
- Bloqueio de mecanismos de monitoramento de segurança;
- Alteração de componentes internos usados pelas soluções defensivas;
- Remoção de barreiras que impediriam a execução do ransomware.
Na prática, o ataque do GodDamn tenta remover os “olhos” do administrador antes de executar a fase mais destrutiva: a criptografia dos dados.
Essa abordagem é perigosa porque muitas soluções tradicionais confiam no próprio sistema operacional para proteger seus processos. Quando o ataque chega ao nível do kernel, essa confiança pode ser explorada.
O perigo da assinatura digital da Microsoft
Um dos pontos mais preocupantes identificados pelos pesquisadores foi o fato de o PoisonX utilizar um driver que possuía uma assinatura digital válida.
Normalmente, drivers assinados passam por processos de validação justamente para impedir que códigos maliciosos tenham acesso privilegiado.
Porém, ataques BYOVD exploram uma falha conceitual: uma assinatura válida não significa necessariamente que o software continuará seguro para sempre.
Um driver pode ser legítimo, mas apresentar vulnerabilidades que permitem abuso criminoso. Dessa forma, atacantes conseguem transformar componentes confiáveis em armas contra os próprios sistemas.
O caso do ransomware GodDamn reforça um alerta importante para administradores: confiar apenas em assinaturas digitais não é suficiente. É necessário monitorar comportamento, reputação dos drivers e políticas de carregamento dentro da infraestrutura.
Anatomia do ataque: da coleta de credenciais à criptografia
A campanha observada em junho de 2026 mostra uma cadeia de ataque organizada, combinando ferramentas legítimas com componentes maliciosos.
O primeiro estágio envolve acesso inicial ao ambiente comprometido. Os invasores utilizaram ferramentas de acesso remoto como o AnyDesk, uma solução normalmente usada por equipes de suporte técnico.
O abuso de softwares legítimos é uma tendência crescente no cenário de ransomware porque reduz suspeitas e dificulta a diferenciação entre atividade administrativa e comportamento criminoso.
Depois de obter acesso, os operadores do GodDamn realizaram etapas de reconhecimento e coleta de informações utilizando ferramentas da NirSoft, conhecidas por oferecer pequenos utilitários administrativos.
Essas ferramentas podem ser usadas para visualizar informações armazenadas no sistema, incluindo dados relacionados a navegadores, redes e credenciais.
Com informações suficientes em mãos, os atacantes avançaram para o movimento lateral dentro da rede utilizando o PsExec, ferramenta da Microsoft frequentemente utilizada por administradores para execução remota de processos.
Esse estágio permite que criminosos ampliem o alcance da invasão, atingindo servidores, estações de trabalho e outros dispositivos conectados.
Somente após enfraquecer as defesas e garantir maior controle do ambiente, o ransomware inicia a etapa final: a criptografia dos arquivos e a exibição da nota de resgate.
A combinação de ferramentas legítimas, acesso remoto e manipulação do kernel demonstra uma operação muito mais estruturada do que campanhas tradicionais de ransomware.
Conclusão e impactos para a segurança digital
O caso do ransomware GodDamn mostra como as ameaças modernas estão ultrapassando os métodos tradicionais de defesa. Ataques que exploram o nível do kernel, como o uso do driver PoisonX, representam um desafio significativo para empresas que dependem apenas de antivírus convencionais.
A técnica BYOVD evidencia que até componentes considerados confiáveis podem se transformar em pontos de entrada quando possuem vulnerabilidades exploráveis.
Para administradores de sistemas e equipes de segurança, algumas medidas tornam-se essenciais:
- Implementar políticas rígidas para carregamento de drivers;
- Monitorar softwares de acesso remoto como AnyDesk;
- Utilizar soluções EDR com proteção contra manipulação em nível de kernel;
- Revisar permissões administrativas dentro da rede;
- Acompanhar listas de drivers vulneráveis conhecidos.
O avanço do GodDamn reforça uma realidade da cibersegurança atual: proteger endpoints não significa apenas bloquear arquivos maliciosos, mas entender todo o comportamento do ambiente.
