Tecnologia

GodDamn spegne gli EDR con un driver firmato Microsoft

Il ransomware GodDamn ha usato PoisonX, un driver kernel firmato Microsoft, per accecare gli EDR su almeno 10 macchine prima della cifratura.

13 lug 2026 3 min lettura A cura di Redazione
GodDamn spegne gli EDR con un driver firmato Microsoft
Condividi

Un’operazione ransomware attiva da quattro anni ha introdotto una tecnica che il team di ricerca coinvolto afferma di non avere mai osservato prima. GodDamn ha impiegato un driver kernel legittimamente firmato da Microsoft per disattivare le difese endpoint su almeno 10 macchine della stessa organizzazione, preparando il terreno alla cifratura senza dover eludere gli strumenti di sicurezza.

La campagna è stata resa pubblica il 9 luglio 2026 dal Symantec Threat Hunter Team di Broadcom. Il driver, battezzato PoisonX, non si limita a nascondere le attività malevole: interviene sulle fondamenta del sistema operativo e rende gli EDR strutturalmente incapaci di osservare ciò che accade. Le applicazioni di controllo possono continuare a funzionare e mostrare uno stato regolare, pur essendo diventate cieche.

Dietro GodDamn opera il gruppo seguito con il nome di Hyadina, attivo almeno da marzo 2022. In precedenza aveva distribuito Monster ransomware e, dopo un rebranding avvenuto nel giugno 2024, Beast ransomware. Le campagne avevano colpito organizzazioni statunitensi nella sanità, nella manifattura e nell’istruzione, evitando deliberatamente i sistemi situati nei Paesi della Comunità degli Stati Indipendenti.

PoisonX lascia gli EDR accesi, ma li priva degli eventi del sistema.

Il vantaggio di PoisonX deriva dall’architettura dei privilegi di Windows. Le applicazioni ordinarie, comprese molte interfacce dei prodotti di sicurezza, operano in Ring 3, la modalità utente, con accesso limitato alla memoria. Il codice kernel viene invece eseguito in Ring 0, dove può accedere alla memoria e all’hardware, oltre a terminare processi senza sottostare alle protezioni disponibili in user mode.

Gli EDR usano funzioni come Protected Process Light per impedire agli amministratori in modalità utente di chiuderli. PoisonX aggira questo confine dall’alto: installato sul disco come g11.sys, riceve comandi attraverso un’interfaccia IOCTL non documentata e rimuove le callback del kernel utilizzate dagli strumenti di sicurezza per ricevere notifiche sugli eventi. Non si tratta di un driver vulnerabile successivamente sfruttato, ma di codice progettato specificamente per eliminare le difese.

Una firma Microsoft ha trasformato un driver ostile in codice considerato affidabile.

Il driver porta una firma valida Microsoft Windows Hardware Compatibility Publisher, ottenuta attraverso il programma di compatibilità hardware di Microsoft. Brigid O’Gorman ha osservato che non sono noti i passaggi seguiti dagli attaccanti né il modo in cui potrebbero avere ingannato Microsoft. Il Hardware Compatibility Program verifica l’identità di chi presenta un driver, ma non ne analizza il comportamento né ricerca interfacce malevole: credenziali apparentemente legittime possono quindi sostenere codice sviluppato in malafede.

L’autore di PoisonX usa su GitHub l’alias oxfemale e si presenta su LinkedIn come ricercatore di sicurezza russo. Il driver è stato pubblicato il 7 aprile 2026 come strumento di ricerca, ma Symantec sostiene che non abbia un caso d’uso legittimo. Nel giro di poche settimane è entrato nel toolkit GentleKiller, distribuito agli affiliati di The Gentlemen, operazione ransomware-as-a-service che entro giugno dichiarava 478 vittime in oltre 70 Paesi.

Gli attaccanti hanno accecato almeno dieci macchine prima di avviare la cifratura.

L’intrusione analizzata si è sviluppata tra il 29 maggio e il 3 giugno 2026. Il vettore iniziale non è stato identificato; la prima attività confermata è stata un’installazione di AnyDesk nella cartella Musica di un computer, collegata a indirizzi IP sconosciuti. Il giorno successivo gli operatori si sono spostati su un secondo host e hanno installato PoisonX. Per le imprese, la sequenza evidenzia il limite di una fiducia basata esclusivamente sulla firma del codice: un componente riconosciuto come autentico può comunque neutralizzare la telemetria prima che inizi la cifratura.

Articoli Correlati