Как вымогателям удалось получить подпись Microsoft для вредоносного драйвера?

21 мая 2026 года в дикой природе впервые засветилось новое семейство вымогательского ПО — GodDamn. Команда Symantec Threat Hunter, входящая в состав Broadcom, установила: это не самостоятельная разработка, а ребренд более раннего образца под названием Beast. А Beast, в свою очередь, вырос из ещё более старого зловреда Monster — написанного на Delphi и обнаруженного ещё в марте 2022 года. Всю эту цепочку исследователи приписывают одному разработчику, которого в Broadcom отслеживают под именем Hyadina.
Инцидент начала июня 2026 года описан довольно подробно, и в нём есть один момент, который выделяет атаку среди прочих вымогательских кампаний последних лет. Атакующие использовали драйвер уровня ядра под названием PoisonX (файл g11.sys), и этот драйвер прошёл официальную подпись Microsoft. В отчёте Symantec это сформулировано прямо: «драйвер PoisonX кажется несколько более необычным, поскольку он представляет собой вредоносный драйвер, который его разработчикам удалось подписать у Microsoft, и теперь он используется атакующими, распространяющими вымогательское ПО».
Сама атака строилась по классической для таких групп схеме, но с несколькими характерными деталями. Для удалённого доступа злоумышленники применяли AnyDesk. Перед развёртыванием шифровальщика на заражённых машинах разворачивался инструмент для сбора учётных данных на базе утилит NirSoft — программа, способная вытаскивать пароли из браузеров, Windows Credential Manager, кэшированные доменные учётные данные, сессии VNC, почтовые клиенты, сохранённые профили Wi-Fi и даже перехватывать живой сетевой трафик. Параллельно с этим на хосты подкидывался инструмент для обхода защиты в пользовательском режиме, замаскированный под продукт самого Symantec — файл получил имя symantec.exe. Точный первоначальный вектор проникновения в сеть жертвы установить не удалось.
Технически PoisonX относится к классу атак BYOVD — bring your own vulnerable driver, когда злоумышленник приносит с собой уязвимый, но легитимно подписанный драйвер и заставляет Windows его загрузить. Broadcom описывал этот механизм месяцем ранее в отдельном отчёте, отмечая: «уязвимые драйверы — самый надёжный путь проникновения для атакующего». Схема выглядит так: сначала злоумышленник получает административные привилегии в системе, затем подбрасывает драйвер с известной уязвимостью, но валидной цифровой подписью, а операционная система, доверяя подписи, загружает его без лишних вопросов. Дальше начинается самое интересное — драйвер даёт доступ к ядру системы, и с его помощью можно либо просто убить процессы антивируса и EDR-решения, либо действовать тоньше: лишить агента безопасности его привилегий, оставив программу формально работающей, но фактически бесполезной, или подделать внутренние записи ядра, ослепив систему защиты относительно происходящего в системе.
PoisonX не уникален для группы Hyadina — этот же драйвер входит в набор из восьми подобных инструментов, которыми пользуется операция The Gentlemen, работающая по модели ransomware-as-a-service. У них драйвер встроен в собственный инструмент под названием GentleKiller, который распространяется среди партнёров именно для отключения защитных механизмов перед запуском шифровальщика.
Что касается развёртывания AnyDesk в описанном инциденте — на части машин установка проходила автоматически через PowerShell-скрипт, заранее размещённый на системном диске. Это наводит на мысль о заранее подготовленном переиспользуемом инсталляторе, а не о ручной настройке на каждом хосте. Последовательность действий повторялась почти под копирку: сначала завершалась установка AnyDesk на очередной машине, затем работающий процесс AnyDesk принудительно завершался, следовала короткая пауза, и машина перезагружалась. К концу дня 2 июня 2026 года такой цикл прошёл минимум на десяти хостах внутри одной атакованной организации.
Собственно вымогатель GodDamn был обнаружен на день позже — 3 июня 2026 года, причём на отдельном сегменте сети, относящемся к другому структурному подразделению той же компании. Интересная деталь касается расширения зашифрованных файлов: в этой конкретной атаке файлам присваивалось имя самой жертвы в качестве расширения, тогда как в других зафиксированных кампаниях Hyadina обычно используется стандартное расширение.God8Damn.
Записку с требованием выкупа, которую атакующие оставляют в конце вторжения, отдельно разобрала компания CYFIRMA. Жертвам предлагается связаться с злоумышленниками двумя способами — по электронной почте или через мессенджер qTox, который славится шифрованием переписки и используется в киберпреступной среде именно из-за этого.
Итоговая оценка CYFIRMA сводится к тому, что применение относительно недавно обнаруженного вредоносного компонента PoisonX в составе GodDamn представляет собой заметный скачок в возможностях группы по обходу защитных механизмов. Это, по мнению исследователей, говорит о том, что Hyadina не остановилась на достигнутом и продолжает активно дорабатывать как сам вымогатель, так и сопутствующий инструментарий для проникновения в чужие сети.


Новое на сайте

Ссылка