O grupo de ransomware GodDamn vem atacando empresas dos Estados Unidos usando a técnica BYOVD, que abusa de um driver de kernel assinado pela Microsoft para desativar antivírus e ferramentas EDR antes de criptografar arquivos. A campanha, detalhada por analistas em julho de 2026, evidencia falhas no processo de assinatura de drivers e reforça um padrão já explorado por outras gangues de extorsão.

O que é a técnica BYOVD

BYOVD (Bring Your Own Vulnerable Driver) é uma tática em que o atacante leva para a máquina um driver legítimo, assinado pela Microsoft, que contém uma falha conhecida. Como o driver carrega uma assinatura digital válida, ele é aceito pelo Windows mesmo quando o modo de carregamento seguro de drivers está ativo. Explorando a vulnerabilidade, o atacante obtém acesso ao nível do kernel e ganha privilégios máximos — suficientes para encerrar processos de segurança.

O problema central é que a assinatura da Microsoft funciona como um atestado de confiança. Quando um driver malicioso ou vulnerável recebe essa assinatura — por engano, por má validação ou via o processo de atestado de assinatura — ele se torna uma arma silenciosa, capaz de neutralizar defesas. Esse mesmo vetor já foi usado por grupos como o Gentlemen, que usam EDR-killers contra centenas de vítimas, e por ferramentas como a GentleKiller, que desativa mais de 400 processos de EDR.

Como o GodDamn opera

Identificado em monitoramento de fóruns clandestinos, o GodDamn é uma variante de ransomware que criptografa arquivos e adiciona uma extensão personalizada .God8Damn, precedida por um identificador único da vítima entre colchetes. Após a criptografia, ele cria um arquivo README.TXT com instruções de contato, oferecendo desconto no resgate para vítimas que respondam rapidamente. A oferta de múltiplos canais de comunicação — e-mail e mensageiros — sugere uma operação estruturada de extorsão.

O fluxo típico do ataque começa com acesso inicial por meio de phishing ou credenciais roubadas. Uma vez dentro, o operador escalar privilégios, frequentemente via BYOVD, mata as ferramentas de detecção, movimenta lateralmente pela rede, rouba dados para pressão dupla e só então dispara a criptografia. A fase de matar o EDR é decisiva: sem ela, a maioria dos antivírus modernos bloquearia o ransomware antes da encriptação.

Fase Técnica (MITRE ATT&CK) Objetivo
Acesso inicial T1059 — Interpreter; T1047 — WMI Executar payload e ganhar pé na rede
Escalonamento T1055 — Process Injection; T1134 — Token Manipulation Obter privilégios elevados
Evasão de defesa BYOVD com driver assinado Matar EDR e antivírus
Impacto Criptografia + extensão .God8Damn Extorsão com nota README.TXT

Riscos do driver assinado

O caso reacende o debate sobre o programa de assinatura de drivers da Microsoft. Em episódios anteriores, a empresa passou a revogar certificados de drivers abusados em ataques, mas a medida é reativa: novos drivers assinados continuam aparecendo em campanhas ativas. A CISA e fornecedores de segurança têm alertado para o crescente uso de drivers assinados para matar EDR em operações de ransomware nos Estados Unidos.

Como bloquear o ataque

  • Lista de bloqueio de drivers: aplique a política de Microsoft Vulnerable Driver Blocklist via GPO e mantenha-a atualizada.
  • Restringir carregamento: ative o Memory Integrity (HVCI) no Windows 10/11 para impedir drivers não compatíveis.
  • EDR resistente: prefira soluções com proteção anti-tamper em kernel e alertas de tentativa de desativação.
  • Monitoramento de extensões: crie regras para detectar criação em massa de arquivos .God8Damn e acionar contenção automática.
  • Backup offline: mantenha cópias testadas e isoladas para restauração sem pagamento de resgate.

Fontes