Siber güvenlik dünyası, fidye yazılımlarının evrimine bir kez daha tanık oluyor. Symantec Threat Hunter Ekibi, Mayıs 2026'da ilk kez tespit edilen ve 'GodDamn' adı verilen yeni bir fidye yazılımını analiz etti. Bu yazılım, daha önce Monster ve Beast olarak bilinen fidye yazılımlarının en yeni versiyonu olarak karşımıza çıkıyor. Hyadina kod adlı grup tarafından geliştirilen GodDamn, özellikle PoisonX adlı imzalı çekirdek sürücüsünü kullanarak güvenlik yazılımlarını etkisiz hale getirmesiyle dikkat çekiyor.
GodDamn'ın en önemli özelliği, BYOVD (Bring Your Own Vulnerable Driver) saldırısını bir adım öteye taşıması. Genellikle saldırganlar, güvenlik açığı bulunan meşru sürücüleri kullanırken, PoisonX doğrudan kötü amaçlı olarak tasarlanmış ve Microsoft tarafından imzalanmış bir sürücü. Bu imza sayesinde Windows tarafından otomatik olarak yüklenen sürücü, çekirdek seviyesinde çalışarak güvenlik yazılımlarının süreçlerini sonlandırabiliyor, izinlerini kaldırabiliyor ve çekirdek içi olay bildirimlerini manipüle ederek güvenlik ürünlerinin olayları algılamasını engelliyor.
Symantec'in raporuna göre, GodDamn fidye yazılımı ilk olarak 21 Mayıs 2026'da tespit edildi ve Haziran başında gerçekleşen bir saldırıda detaylı olarak analiz edildi. Beast ile arasında önemli kod benzerlikleri bulunan yazılım, yine AnyDesk uzaktan erişim aracı, NirSoft tabanlı kimlik bilgisi hırsızları ve BDT ülkelerini hedef almama gibi ortak taktikleri kullanıyor. PoisonX sürücüsü ise ilk kez 2026 başlarında CrowdStrike Falcon servisini hedef alan saldırılarda görülmüştü.
Sistem Güvenliği
Saldırının ilk aşamasında, kurban ağına erişim 29 Mayıs'ta AnyDesk'in Music klasörüne manuel olarak yerleştirilmesiyle başlıyor. Ertesi gün, ikinci bir cihazda 'symantec.exe' adlı bir dosya, PoisonX sürücüsünü 'g11.sys' olarak sistem sürücü deposuna bırakıyor. Ardından, 14 farklı kimlik bilgisi toplama aracı (Mimikatz, WebBrowserPassView, ChromePass vb.) ve ağ keşif aracı Netscan.exe devreye sokuluyor.
Detaylar ve Etkileri
1 Haziran'da PsExec kullanılarak yanal hareket başlıyor. Saldırganlar, Windows Defender gerçek zamanlı korumasını devre dışı bırakıp, çalıntı kimlik bilgileriyle yönetici paylaşımlarına bağlanarak diğer sistemlere erişiyor. Her hedefte AnyDesk'i arka planda çalışacak şekilde yapılandırıyor, etkileşimli izin istemini kapatıyor ve uzaktan erişim şifresi belirliyorlar. AnyDesk, yeniden başlatmalarda hayatta kalmak için iki ayrı Windows hizmeti olarak kaydediliyor.
Nasıl Önlem Alınmalı?
2 Haziran sonunda bu kurulum en az 10 cihazda tamamlanmış durumda. 29 Mayıs ile 3 Haziran arasındaki dört günlük boşluk, veri sızdırma veya keşif için kullanılmış olabilir. 3 Haziran'da GodDamn fidye yazılımı, ağın farklı bir bölümünde ilk kez şifreleme yaparken tespit ediliyor. Bu saldırı, fidye yazılımlarının giderek daha karmaşık hale geldiğini ve imzalı sürücülerin bile kötü amaçlı kullanılabildiğini gösteriyor. Kuruluşların, özellikle sürücü imzalama politikalarını ve uç nokta tespit sistemlerini güçlendirmeleri kritik önem taşıyor.
Kaynak: securityaffairs.com