Mastodon
Connect with us

Hacking

GodDamn ransomware: αναλυτική εικόνα της επίθεσης

Η εκστρατεία GodDamn δείχνει πώς χειροκίνητη πρόσβαση, toolkit της NirSoft και το PsExec δημιουργούν γρήγορη πλευρική διάδοση, ενώ ο signed driver PoisonX επιτρέπει απενεργοποίηση EDR σε επίπεδο kernel, αλλάζοντας τους κανόνες ασφάλειας.

Published

on

GodDamn ransomware: αναλυτική εικόνα της επίθεσης

Μια πρόσφατη, στοχευμένη επίθεση με το GodDamn ransomware αποκαλύπτει πως δεν πρόκειται για καινούργιο «εργαλείο», αλλά για τη νεότερη επωνυμία μιας οικογένειας που επανεμφανίζεται με μικρές αλλά κρίσιμες βελτιώσεις. Η τεχνική χρονογραμμή, τα εργαλεία συλλογής διαπιστευτηρίων και ο τρόπος πλευρικής κίνησης συνάδουν με προηγούμενες εκστρατείες που οι ερευνητές αποδίδουν στον ίδιο κύκλο ανάπτυξης.

Η ανάλυση του περιστατικού, όπως το τεκμηρίωσε η ομάδα απειλών της Symantec, συνδυάζει κλασικές τακτικές — χειροκίνητη πρόσβαση, κρυφή επιμονή, συστηματική αφαίρεση διαπιστευτηρίων και αποκωδικοποίηση αμυντικών μηχανισμών σε επίπεδο kernel — με σύγχρονα τεχνάσματα όπως ψηφιακά υπογεγραμμένοι κακόβουλοι drivers. Η έκθεση φωτίζει σημεία που αξίζει να γνωρίζουν οι οργανώσεις και οι διαχειριστές ασφάλειας σήμερα.

Πώς μπήκαν οι επιτιθέμενοι: AnyDesk από ασυνήθιστη θέση

Η διείσδυση που παρατηρήθηκε στα τέλη Μαΐου και αρχές Ιουνίου 2026 ξεκίνησε με την παρουσία ενός AnyDesk client που εκτελούνταν από ένα ασυνήθιστο, τοπικό μονοπάτι μέσα στο φάκελο Music ενός χρήστη. Αυτό το εύρημα δεν ταιριάζει με τυπική εγκατάσταση και υποδηλώνει χειροκίνητη ανάπτυξη από operator που είχε ήδη πρόσβαση στο περιβάλλον.

Ο client του AnyDesk συνδεόταν με πολλαπλά relay IPs και είχε ρυθμιστεί για unattended access, με καταπίεση εμφανίσεων συγκατάθεσης και δημιουργία επίμονων υπηρεσιών για επιβίωση σε επανεκκινήσεις. Η τεχνική αυτή παρέχει στους επιτιθέμενους διαδραστικό έλεγχο χωρίς τα θορυβώδη μοτίβα που συνήθως ενεργοποιούν συναγερμούς σε συστήματα παρακολούθησης.

Συλλογή διαπιστευτηρίων: NirSoft, Mimikatz και ένα πλήρες toolkit

Στον φάκελο χρήστη βρέθηκε ένας staged toolkit που συνδύαζε το Mimikatz με δεκατέσσερις βοηθητικές εφαρμογές της NirSoft, όπως WebBrowserPassView, ChromePass, PasswordFox, MailPassView, VNCPassView, WirelessKeyView και το Netscan. Αυτή η συλλογή καλύπτει ένα ευρύ φάσμα αποθηκευμένων και cache-αρισμένων διαπιστευτηρίων: browsers, Windows Credential Manager, cached domain credentials, VNC credentials, προφίλ Wi‑Fi και στοιχεία email.

Η παρουσία εργαλείων για live traffic capture και δικτυακή σάρωση επιτρέπει στους επιτιθέμενους γρήγορη χαρτογράφηση του δικτύου και μαζική εξαγωγή στοιχείων ταυτότητας. Συνδυασμένη με την ικανότητα του Mimikatz να εξάγει κρυπτογραφημένα credentials από μνήμη και LSASS, η συλλογή γίνεται ταχείας απόδοσης και υψηλής αξίας για lateral movement.

Ένα στοιχείο που αξίζει προσοχής είναι ο συστηματικός, στάδιζμένος χαρακτήρας της συλλογής: οι επιτιθέμενοι δεν περιορίζονται σε μεμονωμένα εργαλεία αλλά φέρνουν ένα οργανωμένο «σετ» που στοχεύει σε πολλαπλές επιφανειές ταυτόχρονα, μειώνοντας τον χρόνο από την αρχική πρόσβαση μέχρι την πλευρική διάδοση.

Πλευρική κίνηση με PsExec και διανομή μέσω υπηρεσιών

Η πλευρική κίνηση στην επιχείρηση επιβεβαιώθηκε πως βασίστηκε σε PsExec. Όλες οι κακόβουλες εντολές κατά τη διάδοση εντοπίστηκαν μέσω των διεργασιών psexesvc.exe, services.exe και wininit.exe, στοιχείο που δείχνει ένα σαφές PsExec-based distribution model.

Οι επιτιθέμενοι εκτέλεσαν reconnaissance με βασικές εντολές όπως ipconfig και tasklist, ανέβασαν administrative shares με τα κλεμμένα credentials και εγκατέστησαν AnyDesk σε προσβάσιμους hosts ώστε να δημιουργήσουν ένα ανθεκτικό δίκτυο απομακρυσμένης πρόσβασης. Αντί να τρέξουν άμεσα το ransomware παντού, η ομάδα οικοδόμησε ένα χειροκίνητο, αλληλένδετο απομακρυσμένο access fabric.

Scripts και ένα επαναχρησιμοποιήσιμο PowerShell installer επιτάχυναν την ανάπτυξη σε τουλάχιστον δέκα hosts στο παρατηρηθέν περιβάλλον, γεγονός που υπογραμμίζει το συνδυασμό χειροκίνητης καθοδήγησης και αυτοματοποιημένων εργαλείων για γρήγορη, συντονισμένη επίθεση.

Υπονόμευση ανιχνεύσεων σε επίπεδο kernel: PoisonX και ψηφιακή υπογραφή

Μια από τις πιο επικίνδυνες πτυχές της εκστρατείας ήταν η χρήση ενός αρχείου που μιμούταν ένα νόμιμο binary της Symantec και το οποίο εγκαθιστούσε έναν υπογεγραμμένο kernel driver με την ονομασία PoisonX. Ο driver φέρεται να φέρει μια υπογραφή που αποδίδεται στον Microsoft Windows Hardware Compatibility Publisher, πράγμα που του έδινε πρόσβαση σε λειτουργίες που συνήθως αποκλείονται σε κλασικές επιθέσεις BYOVD.

Το PoisonX μπορούσε να τερματίσει διαδικασίες ασφαλείας και να αφαιρέσει user-mode hooks, ουσιαστικά «τυφλώνοντας» endpoint προστασίες όπως EDRs και antivirus. Παρότι οι BYOVD (bring-your-own-vulnerable-driver) επιθέσεις χρησιμοποιούν νόμιμους αλλά ευάλωτους drivers, εδώ το ανησυχητικό στοιχείο είναι ότι ο driver φαίνεται κακόβουλος αλλά φέρει έγκυρη-φαινομενικά υπογραφή — μια παραλλαγή που αυξάνει δραματικά το επίπεδο δυσκολίας εντοπισμού.

Το ίδιο αναφέρθηκε και σε περιστατικά του 2026, όπου το PoisonX συσχετίστηκε με συμπεριφορές που απενεργοποιούν εργαλεία όπως το CrowdStrike. Η ικανότητα τροποποίησης kernel-level προστασίας αλλάζει τους κανόνες του παιχνιδιού για την άμυνα των endpoints.

Από την παραμονή στην κρυπτογράφηση: χρονική διαχείριση επίθεσης

Μετά τη συστηματική συλλογή διαπιστευτηρίων και την απομάκρυνση αμυντικών μηχανισμών — συμπεριλαμβανομένης της προγραμματικής απενεργοποίησης του Defender real-time monitoring — οι επιτιθέμενοι επέτρεψαν μια περίοδο dwell πριν την τελική ενεργοποίηση κρυπτογράφησης. Αυτή η τακτική επιτρέπει περαιτέρω χαρτογράφηση, εξασφάλιση πρόσβασης σε κρίσιμα συστήματα και σχεδιασμό μέρους-προς-μέρος εκτελέσεων.

Τα δείγματα GodDamn που εντοπίστηκαν τοποθετήθηκαν σε φακέλους προφίλ χρηστών και, σε πολλές περιπτώσεις, τα κρυπτογραφημένα αρχεία απέκτησαν την επέκταση .God8Damn. Στο αντικείμενο που ανέλυσε η Symantec όμως, οι επιτιθέμενοι χρησιμοποίησαν ως επέκταση το όνομα του θύματος, ένα ασυνήθιστο μοτίβο που μπορεί να βοηθήσει σε μελλοντική ανάθεση και correlation.

Σύνδεση με την ιστορία: Hyadina, Monster, Beast και οι επαναλαμβανόμενες επωνυμίες

Η τεχνική συγγένεια μεταξύ του GodDamn και παλαιότερων οικογενειών ransomware είναι εμφανής. Οι αναλυτές παρατηρούν ισχυρή επικάλυψη κώδικα με το Beast — που ίδιο παρατηρήθηκε ως rebrand του Monster το 2024 — και παρακολουθούν τα μοτίβα ως έργο του ίδιου developer cluster που ονομάζεται Hyadina.

Το φαινόμενο rebranding δεν είναι νέο στον κόσμο των ransomware: οι ομάδες επαναχρησιμοποιούν αποδεδειγμένα εργαλεία, αλλάζουν ονόματα, βελτιώνουν μηχανισμούς απόκρυψης και προσθέτουν τεχνολογίες όπως signed drivers για να παρακάμψουν ανιχνεύσεις. Η επαναλαμβανόμενη χρήση συγκεκριμένων εργαλείων όπως οι βοηθητικές εφαρμογές της NirSoft και το AnyDesk για απομακρυσμένη πρόσβαση αποτελεί βασικό fingerprint για την αναγνώριση και συσχέτιση επιθέσεων.

Τι σημαίνει για τους χρήστες και τις οργανώσεις

Η περίπτωση GodDamn δείχνει ότι ο συνδυασμός χειροκίνητης επίθεσης και αυτοματοποίησης καθιστά τις σύγχρονες εκστρατείες πιο ευέλικτες και πιο επικίνδυνες. Οποιαδήποτε οργάνωση που στηρίζεται αποκλειστικά σε παραδοσιακά signature-based antivirus και σε βασικές πολιτικές πρόσβασης είναι ευάλωτη σε αυτή την προσέγγιση. Η ύπαρξη υπογεγραμμένων αλλά κακόβουλων drivers απαιτεί επανεξέταση των υποθέσεων ασφαλείας: η ψηφιακή υπογραφή δεν είναι πλέον από μόνη της εγγύηση εμπιστοσύνης.

Σε πρακτικό επίπεδο οι οργανώσεις πρέπει να δώσουν προτεραιότητα σε μέτρα που δυσκολεύουν την αρχική και χειροκίνητη πρόσβαση και που μειώνουν την αξία των κλεμμένων διαπιστευτηρίων. Αυτό περιλαμβάνει αυστηρή εφαρμογή MFA, πολιτικές least privilege, segmentation του δικτύου, έλεγχο και περιορισμό εργαλείων απομακρυσμένης πρόσβασης και logging που να ανιχνεύει μη τυπικές τοποθεσίες εκτέλεσης εφαρμογών (π.χ. AnyDesk από φάκελο Music).

Τα EDR/AV προϊόντα και οι διαχειριστές θα πρέπει επίσης να επανεξετάσουν τις διαδικασίες για signed drivers, να αξιοποιήσουν τεχνικές όπως kernel protection με whitelist, να εφαρμόσουν monitoring για συμβάντα tampering στον Defender και να καταγράψουν εκτελέσεις psexesvc.exe και συναφών διεργασιών. Τα συστήματα καταγραφής (Sysmon, Windows Event Logs) υπό σωστή ρύθμιση μπορούν να προσφέρουν κρίσιμα indicators of compromise (IOCs).

Τέλος, η δημιουργία, έλεγχος και τακτική απομόνωση offline backups είναι απαραίτητα για να διασφαλιστεί ότι μια επίθεση κρυπτογράφησης δεν γίνεται καταστροφική. Η ανταπόκριση σε περιστατικά πρέπει να περιλαμβάνει σχέδιο αποκατάστασης που προϋποθέτει ότι ο επιτιθέμενος μπορεί να έχει διαχειριστικά δικαιώματα και εκτεταμένη κάλυψη εντός του δικτύου.

Advertisement