Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

Anthropic, OpenAI y SpaceX son más grandes que cualquier salida tecnológica en los últimos 25 años

REWIRE impulsa la refabricación inteligente en toda Europa

Los ataques de IA funcionan en cuestión de minutos. Únase a este seminario web sobre cómo construir una defensa continua

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»El ransomware GodDamn utiliza controladores PoisonX para desactivar las defensas de los terminales
Identidad

El ransomware GodDamn utiliza controladores PoisonX para desactivar las defensas de los terminales

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 9, 2026No hay comentarios4 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Ravi Lakshmanan9 de julio de 2026Malware/Seguridad de terminales

Los investigadores de ciberseguridad han detectado una nueva familia de ransomware llamada GodDamn que utiliza el controlador del kernel PoisonX para desactivar el software de seguridad como parte de una estrategia de evasión de defensa.

Según un nuevo informe publicado por el equipo Threat Hunters de Symantec, este ransomware se descubrió públicamente por primera vez el 21 de mayo de 2026. Se describe como un cambio de marca del ransomware Beast, que es una versión mejorada de Monster, un ransomware basado en Delphi que surgió en marzo de 2022. La división de ciberseguridad de Broadcom está rastreando a los desarrolladores detrás de estas familias de ransomware. Comúnmente conocida como Hyadina.

En un ataque orquestado por Operation Ransomware a principios de junio de 2026, los atacantes supuestamente confiaron en AnyDesk para el acceso remoto y utilizaron un conjunto de herramientas de recolección de credenciales basado en NirSoft antes de implementar el ransomware. Se desconoce el vector de acceso inicial exacto. Credential Harvester está diseñado para extraer datos confidenciales de navegadores web populares, Windows Credential Manager, credenciales de dominio en caché, sesiones VNC, clientes de correo electrónico, perfiles de Wi-Fi y tráfico de red en vivo.

El ataque también utiliza una herramienta de evasión de defensa en modo de usuario (‘symantec.exe’) disfrazada de producto Symantec (‘symantec.exe’) y el controlador del kernel PoisonX (‘g11.sys’) para desactivar las defensas de los endpoints en el llamado ataque Bring Your Vulnerable Driver (BYOVD).

«Sin embargo, el controlador PoisonX parece ser un poco único en el sentido de que parece ser un controlador malicioso cuyo desarrollador logró que Microsoft lo firmara y ahora está siendo utilizado por atacantes de ransomware», dijo el equipo Symantec Threat Hunter en un informe compartido con The Hacker News.

Vale la pena señalar que PoisonX es uno de los ocho controladores empleados por los operadores del esquema de ransomware como servicio (RaaS) The Gentlemen en la herramienta personalizada GentleKiller que distribuye a sus afiliados con el propósito de comprometer las defensas del sistema antes de ejecutar programas de cifrado.

«Los controladores vulnerables son el vector de entrada más confiable para los atacantes», señaló Broadcom el mes pasado. «Un atacante con privilegios administrativos podría colocar un controlador defectuoso pero firmado válidamente en una máquina de destino. Como el controlador está firmado, Windows lo carga automáticamente».

«La acción más común es eliminar procesos pertenecientes a productos antivirus (AV) o de detección y respuesta de endpoints (EDR), despojando a la máquina de sus capacidades defensivas. Algunas variantes son más sofisticadas. Puede dejar al agente ejecutándose y dejar de funcionar. También puede alterar directamente los registros internos del kernel, haciendo que los productos de seguridad no estén informados sobre lo que está sucediendo en la máquina.

Este ataque también se caracteriza por el uso de PsExec para facilitar el movimiento lateral y luego configurar AnyDesk en cada host accesible y registrarlo como un servicio de inicio automático de Windows para sobrevivir a los reinicios. En algunas máquinas, toda la configuración de AnyDesk se maneja mediante un script de PowerShell preconfigurado en la unidad del sistema, por lo que recomendamos utilizar un instalador reutilizable para agilizar el proceso.

«Después de completar la configuración de AnyDesk en cada host, el atacante finalizó cualquier proceso de AnyDesk en ejecución, esperó un período de tiempo y luego reinició la máquina», dijo Symantec. «A finales del 2 de junio, esta secuencia de implementación se había repetido en al menos 10 hosts dentro de la organización objetivo».

La firma de ciberseguridad dijo que el ransomware GodDamn se detectó por primera vez el 3 de junio en un segmento de red diferente asociado con una unidad organizativa diferente, y los archivos fueron renombrados con el nombre de la víctima como extensión en lugar de la extensión «.God8Damn» utilizada en otros ataques llevados a cabo por Hyadina.

Según un informe publicado por CYFIRMA, la nota de rescate publicada al final de la intrusión insta a las víctimas a contactarlas por correo electrónico o mediante la aplicación de mensajería cifrada qTox.

«El uso por parte de GodDamn del componente controlador malicioso PoisonX, descubierto relativamente recientemente, representa un aumento en la capacidad del grupo para evadir las defensas e indica que Hyadina continúa desarrollando activamente su ransomware y sus capacidades», concluyó la firma de ciberseguridad.


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleLos álamos podrían mejorar la gestión de incendios forestales
Next Article Summer of Clearinghouses
corp@blsindustriaytecnologia.com
  • Website

Related Posts

Los ataques de IA funcionan en cuestión de minutos. Únase a este seminario web sobre cómo construir una defensa continua

julio 9, 2026

Summer of Clearinghouses

julio 9, 2026

Microsoft parchea la falla de RoguePlanet Defender que podría otorgar privilegios del SISTEMA

julio 9, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

Anthropic, OpenAI y SpaceX son más grandes que cualquier salida tecnológica en los últimos 25 años

REWIRE impulsa la refabricación inteligente en toda Europa

Los ataques de IA funcionan en cuestión de minutos. Únase a este seminario web sobre cómo construir una defensa continua

Summer of Clearinghouses

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.