O grupo de ransomware GodDamn vem atacando empresas dos Estados Unidos usando a técnica BYOVD, que abusa de um driver de kernel assinado pela Microsoft para desativar antivírus e ferramentas EDR antes de criptografar arquivos. A campanha, detalhada por analistas em julho de 2026, evidencia falhas no processo de assinatura de drivers e reforça um padrão já explorado por outras gangues de extorsão.
O que é a técnica BYOVD
BYOVD (Bring Your Own Vulnerable Driver) é uma tática em que o atacante leva para a máquina um driver legítimo, assinado pela Microsoft, que contém uma falha conhecida. Como o driver carrega uma assinatura digital válida, ele é aceito pelo Windows mesmo quando o modo de carregamento seguro de drivers está ativo. Explorando a vulnerabilidade, o atacante obtém acesso ao nível do kernel e ganha privilégios máximos — suficientes para encerrar processos de segurança.
O problema central é que a assinatura da Microsoft funciona como um atestado de confiança. Quando um driver malicioso ou vulnerável recebe essa assinatura — por engano, por má validação ou via o processo de atestado de assinatura — ele se torna uma arma silenciosa, capaz de neutralizar defesas. Esse mesmo vetor já foi usado por grupos como o Gentlemen, que usam EDR-killers contra centenas de vítimas, e por ferramentas como a GentleKiller, que desativa mais de 400 processos de EDR.
Como o GodDamn opera
Identificado em monitoramento de fóruns clandestinos, o GodDamn é uma variante de ransomware que criptografa arquivos e adiciona uma extensão personalizada .God8Damn, precedida por um identificador único da vítima entre colchetes. Após a criptografia, ele cria um arquivo README.TXT com instruções de contato, oferecendo desconto no resgate para vítimas que respondam rapidamente. A oferta de múltiplos canais de comunicação — e-mail e mensageiros — sugere uma operação estruturada de extorsão.
O fluxo típico do ataque começa com acesso inicial por meio de phishing ou credenciais roubadas. Uma vez dentro, o operador escalar privilégios, frequentemente via BYOVD, mata as ferramentas de detecção, movimenta lateralmente pela rede, rouba dados para pressão dupla e só então dispara a criptografia. A fase de matar o EDR é decisiva: sem ela, a maioria dos antivírus modernos bloquearia o ransomware antes da encriptação.
| Fase | Técnica (MITRE ATT&CK) | Objetivo |
|---|---|---|
| Acesso inicial | T1059 — Interpreter; T1047 — WMI | Executar payload e ganhar pé na rede |
| Escalonamento | T1055 — Process Injection; T1134 — Token Manipulation | Obter privilégios elevados |
| Evasão de defesa | BYOVD com driver assinado | Matar EDR e antivírus |
| Impacto | Criptografia + extensão .God8Damn | Extorsão com nota README.TXT |
Riscos do driver assinado
O caso reacende o debate sobre o programa de assinatura de drivers da Microsoft. Em episódios anteriores, a empresa passou a revogar certificados de drivers abusados em ataques, mas a medida é reativa: novos drivers assinados continuam aparecendo em campanhas ativas. A CISA e fornecedores de segurança têm alertado para o crescente uso de drivers assinados para matar EDR em operações de ransomware nos Estados Unidos.
Como bloquear o ataque
- Lista de bloqueio de drivers: aplique a política de Microsoft Vulnerable Driver Blocklist via GPO e mantenha-a atualizada.
- Restringir carregamento: ative o Memory Integrity (HVCI) no Windows 10/11 para impedir drivers não compatíveis.
- EDR resistente: prefira soluções com proteção anti-tamper em kernel e alertas de tentativa de desativação.
- Monitoramento de extensões: crie regras para detectar criação em massa de arquivos .God8Damn e acionar contenção automática.
- Backup offline: mantenha cópias testadas e isoladas para restauração sem pagamento de resgate.