AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

GodDamn: Nuevo ransomware utiliza el driver PoisonX para desactivar defensas en Windows

Introducción

El panorama de amenazas evoluciona constantemente, con actores de ransomware recurriendo a técnicas cada vez más sofisticadas para evadir las defensas de las organizaciones. Un reciente hallazgo del equipo Threat Hunter de Symantec ha puesto sobre aviso a la comunidad de ciberseguridad acerca de una nueva familia de ransomware, denominada GodDamn, que destaca por integrar el driver de kernel malicioso PoisonX para neutralizar soluciones de seguridad en sistemas Windows. Este artículo analiza en profundidad la naturaleza del ataque, sus componentes técnicos y las implicaciones para los profesionales responsables de la seguridad de la información.

Contexto del Incidente o Vulnerabilidad

GodDamn fue detectado por primera vez en entornos reales el 21 de mayo de 2026, según el informe de Symantec. Diversos indicadores y análisis de código sugieren que se trata de una evolución o rebranding del conocido ransomware Beast, activo durante los últimos trimestres de 2025 y responsable de múltiples ataques disruptivos contra empresas europeas y norteamericanas. La transición a GodDamn introduce no solo cambios nominales, sino también avances significativos en la cadena de infección, particularmente en la fase de defensa y persistencia.

El empleo del driver PoisonX, una pieza de malware con privilegios de kernel, representa un salto cualitativo en la capacidad de evadir las protecciones locales, ya que permite deshabilitar o manipular en tiempo real los servicios de seguridad, incluyendo antivirus, EDR y soluciones de monitorización avanzada.

Detalles Técnicos

Los análisis iniciales señalan que GodDamn utiliza el driver PoisonX (identificado en VirusTotal y otras plataformas como una variante de rootkit de kernel firmado con certificados robados) como vector principal para la evasión de defensas. Una vez ejecutado, PoisonX opera en el nivel Ring 0, permitiendo:

– Desactivar servicios y procesos asociados a soluciones EDR/AV (Ej: Windows Defender, CrowdStrike, SentinelOne).
– Manipular la memoria del sistema para ocultar la presencia de procesos maliciosos.
– Interceptar y filtrar llamadas a funciones de API críticas (NTQuerySystemInformation, ZwTerminateProcess).
– Elevar privilegios y asegurar persistencia frente a reinicios y restauraciones.

El despliegue de GodDamn suele realizarse a través de técnicas de spear phishing dirigidas y explotación de vulnerabilidades conocidas (CVE-2024-21412, CVE-2024-29988), habitualmente mediante acceso inicial a través de RDP expuesto o credenciales comprometidas. Una vez dentro, los atacantes utilizan herramientas de movimiento lateral como Cobalt Strike y Mimikatz para la propagación interna, antes de ejecutar la carga final del ransomware.

En cuanto a los TTPs, el MITRE ATT&CK Framework identifica las siguientes tácticas relevantes:
– T1055 (Process Injection)
– T1489 (Service Stop)
– T1562 (Impair Defenses)
– T1027 (Obfuscated Files or Information)
– T1078 (Valid Accounts)

Los indicadores de compromiso (IoC) incluyen hashes de PoisonX, rutas de instalación típicas (C:WindowsSystem32driverspoisonx.sys), y artefactos de red relacionados con la comunicación C2 a dominios .top y .xyz recientemente registrados.

Impacto y Riesgos

El uso de drivers de kernel firmados para desactivar defensas representa uno de los vectores de mayor impacto en la actualidad. Según estimaciones, más del 60% de los endpoints Windows en organizaciones medianas y grandes podrían ser susceptibles, especialmente si no aplican restricciones a la instalación de controladores o no disponen de políticas estrictas de Device Guard o Application Control.

El potencial de daño es elevado: cifrado de datos críticos, robo de credenciales, extorsión mediante doble o triple extorsión (amenaza de filtración), y disrupción de operaciones. En el contexto europeo, la afectación puede conllevar sanciones severas bajo el RGPD y, a partir de octubre de 2024, bajo la directiva NIS2, que exige a las empresas de sectores críticos reportar incidentes graves en menos de 24 horas y mantener medidas de mitigación proactivas.

Medidas de Mitigación y Recomendaciones

Para reducir el riesgo ante GodDamn y amenazas similares, se recomienda:

– Bloquear la instalación de controladores no autorizados mediante políticas de Device Guard o Windows Defender Application Control.
– Monitorizar la aparición de drivers sospechosos en C:WindowsSystem32drivers.
– Desplegar soluciones EDR capaces de identificar manipulación a nivel de kernel.
– Actualizar rutinariamente todos los sistemas y aplicar parches a vulnerabilidades explotadas (CVE-2024-21412 y CVE-2024-29988).
– Revisar la segmentación de red y limitar privilegios de cuentas administrativas.
– Realizar simulacros de respuesta (tabletop exercises) específicos para escenarios de ransomware.
– Mantener copias de seguridad offline y testear su recuperación periódicamente.

Opinión de Expertos

José Antonio López, CISO de una consultora líder en ciberseguridad, señala: “La integración de drivers de kernel firmados supone una alarmante profesionalización en los grupos de ransomware. Los controles tradicionales basados en firmas ya no son suficientes, y urge reforzar la monitorización del stack de seguridad a bajo nivel”.

Por su parte, Marta Gómez, analista SOC, enfatiza la importancia de la inteligencia de amenazas: “El seguimiento proactivo de IoC y el intercambio de información a través de ISACs nacionales es clave para anticipar movimientos y reducir la ventana de exposición”.

Implicaciones para Empresas y Usuarios

El incidente GodDamn ilustra la necesidad de adoptar una postura de defensa en profundidad, con especial atención a la protección del kernel y la gestión de privilegios. Las empresas deben revisar sus procedimientos de hardening, reforzar la formación de usuarios frente a phishing avanzado y considerar la implementación de soluciones Zero Trust para minimizar el impacto de accesos internos comprometidos.

Conclusiones

GodDamn representa una evolución preocupante en el ransomware, destacando el uso de drivers de kernel para sortear las barreras defensivas tradicionales y maximizar el daño. Solo una combinación de medidas técnicas, formación continua y respuesta coordinada permitirá a las organizaciones contener esta y futuras amenazas avanzadas. La vigilancia y adaptación constantes serán esenciales en un entorno cada vez más hostil y sofisticado.

(Fuente: feeds.feedburner.com)