GodDamn Ransomware PoisonX Driver tötet EDR

Der GodDamn ransomware PoisonX driver ist ein von Microsoft signiertes Kernel-Tool, das Ransomware-Akteure einsetzen, um EDR- und Antivirus-Prozesse lautlos abzuschalten, bevor die Verschlüsselung beginnt — und weil der Treiber eine gültige Microsoft-Signatur trägt, wird er von üblichen Treiber-Vertrauensprüfungen einfach durchgewunken.
Was ist passiert
Symantec hat am 9. Juli 2026 offengelegt, dass eine Ransomware-Familie namens GodDamn — ein Rebrand in derselben Linie wie die früheren Stämme Beast und Monster, zurückverfolgt zu einem Entwickler mit dem Namen „Hyadina“, der seit rund vier Jahren dieselbe Kernoperation immer wieder neu aufbaut — einen bösartigen Kernel-Treiber namens PoisonX als primäres Werkzeug zur Abwehrumgehung einsetzt. Der GodDamn ransomware PoisonX driver trägt ein gültiges Microsoft-Codesignatur-Zertifikat und stellt eine undokumentierte IOCTL-Schnittstelle bereit (beobachtet unter Pfad 0x22E010), die eine Ziel-Prozess-ID entgegennimmt und ZwOpenProcess sowie ZwTerminateProcess direkt aus dem Kernel-Modus aufruft. Damit kann ein Angreifer geschützte Sicherheitsprozesse beenden — in einem früher dokumentierten Fall etwa den CrowdStrike-Falcon-Dienst — ohne die Alarme auszulösen, die ein Beendigungsversuch im User-Modus verursachen würde. Bei dem von Symantec untersuchten Vorfall nutzten die Angreifer AnyDesk für den Fernzugriff, PsExec für laterale Bewegung sowie ein Credential-Theft-Toolkit rund um Mimikatz und mehrere NirSoft-Tools; der Treiber selbst wurde über ein als Symantec getarntes gefälschtes Tool installiert. Forscher haben mehr als 15 signierte Varianten des Treibers identifiziert.
Warum das wichtig ist
Es gibt hier keine CVE und keinen Patch zum Einspielen — der Treiber nutzt keine Software-Schwachstelle aus, sondern missbraucht das Vertrauen, das eine gültige Microsoft-Signatur eigentlich vermitteln soll. Das macht es ebenso sehr zu einem Governance-Problem wie zu einem technischen: Jede Organisation, deren Kompensationskontrolle für „unbekannte Kernel-Treiber“ lautet „prüfen, ob signiert“ hat bereits verloren. Die ersten GodDamn-Infektionen konzentrieren sich auf kleine und mittlere Windows-Umgebungen — das entspricht direkt dem Profil des deutschen Mittelstands, der typischerweise ein einzelnes EDR/AV-Produkt als primäre Kontrolle betreibt und über begrenztes Monitoring auf Treiberebene verfügt. Dies ist die zweite eigenständige EDR-Killer-Technik, die DIESEC 2026 verfolgt hat, nach dem Bericht vom 7. April über die DLL-Side-Loading-Methode der Qilin-Ransomware — anderer Akteur, anderer Mechanismus, dasselbe zugrundeliegende Ziel: Verteidiger vor der Verschlüsselungsphase blind zu machen.
Was Sie jetzt tun sollten
- Aktivieren Sie Microsofts Sperrliste für anfällige/bösartige Treiber (bereitgestellt über Windows Defender Application Control / HVCI-erzwungene Sperrlisten-Updates) und halten Sie diese aktuell, statt sich allein auf Codesignierung als Kontrolle zu verlassen.
- Alarmieren Sie bei jedem neuen oder selten gesehenen Kernel-Treiber-Ladeereignis, insbesondere bei Treibern, die nicht Teil eines Standard-Software-Rollouts waren — das ist ein aussagekräftigerer Erkennungspunkt als der Versuch, die Ransomware-Payload selbst abzufangen.
- Behandeln Sie unerwartete Beendigung oder Statusänderungen Ihres EDR-/AV-Dienstes als Eindämmungsauslöser, nicht als Logbuch-Fußnote — lautlose Prozessbeendigung ist genau der Zweck dieser Technik.
- Beschränken und überwachen Sie die Nutzung von AnyDesk und PsExec auf Servern und Arbeitsplätzen ohne dokumentierten geschäftlichen Bedarf für Fernzugriffs- oder Admin-Ausführungstools; beide waren im beobachteten Vorfall der Zustellmechanismus, nicht der Treiber selbst.
DIESEC Einschätzung
Wir sehen bei den EDR-Killer-Fällen 2026 immer wieder dieselbe Governance-Lücke: Organisationen prüfen, ob Sicherheits-Tools installiert sind, aber selten, ob sie im Moment eines Vorfalls noch tatsächlich funktionieren. Ein signierter Treiber, der lautlos den EDR-Prozess beendet, bleibt für ein Dashboard unsichtbar, das nur prüft „ist der Agent installiert“, nicht „meldet der Agent gerade aktiv“.
Nicht sicher, ob Ihre Treiber-Signaturrichtlinie und Ihr Kernel-Monitoring so etwas erkennen würden? Kontaktieren Sie DIESEC für eine schnelle Überprüfung Ihrer Endpoint-Security-Kontrollen.
Quellen: The Hacker News | Symantec
Veröffentlicht: 2026-07-16 | Kategorie: Tägliche News | ~4 Min. Lesezeit

