GodDamn adlı fidye yazılımı, savunma mekanizmalarını atlatmak için PoisonX adlı çekirdek sürücüsünü kullanıyor. Bu yöntemle antivirüs ve uç nokta koruma yazılımları devre dışı bırakılıyor.
Saldırı Nasıl Gerçekleşiyor?
Yapılan teknik incelemeler, GodDamn fidye yazılımının ilk olarak 21 Mayıs 2026’da tespit edildiğini gösteriyor. Bu zararlı, Beast adlı fidye yazılımının yeniden markalanmış hali olarak görülüyor. Beast ise Mart 2022’de ortaya çıkan Delphi tabanlı Monster fidye yazılımının geliştirilmiş versiyonuydu. Bu üçlü fidye yazılımı ailesinin arkasında Hyadina kod adlı bir geliştirici yer alıyor.
Haziran 2026 başlarında gerçekleşen bir saldırıda, saldırganların AnyDesk uzaktan erişim aracıyla sisteme eriştikleri, NirSoft tabanlı kimlik bilgisi toplama araçları kullandıktan sonra fidye yazılımını dağıttıkları belirlendi. İlk erişim yöntemi net değil ancak kimlik bilgisi toplayıcı, tarayıcılar, Windows Credential Manager, önbelleğe alınmış domain kimlik bilgileri ve canlı ağ trafiği dahil pek çok kaynaktan hassas verileri çekebiliyor.
PoisonX Sürücüsü ve BYOVD Saldırıları
Attağın bir parçası olarak, kullanıcı modunda çalışan savunma atlatma aracı “symantec.exe” adıyla kamufle edilirken, çekirdek seviyesinde PoisonX sürücüsü “g11.sys” kullanılarak endpoint koruması devre dışı bırakılıyor. Bu yöntem, “Bring Your Own Vulnerable Driver” (BYOVD) olarak adlandırılan ve kötü amaçlı sürücülerin Microsoft tarafından imzalanmış gibi gösterilip sistemde çalıştırılmasına dayanan bir teknik.
PoisonX sürücüsünün farklılığı, saldırganların bu zararlı sürücüyü Microsoft’tan onay alarak imzalatmayı başarmış olmaları. Bu da fidye yazılımı operasyonlarına yeni bir savunma atlatma katmanı ekliyor.
Benzer şekilde, Gentlemen RaaS (Fidye Yazılımı Hizmeti) saldırganları da GentleKiller isimli araçlarında imzalı sekiz farklı sürücü kullanarak sistem savunmalarını zayıflatıyorlar.
Saldırı Zinciri ve Yayılımı
Saldırganlar, lateral hareket için PsExec aracıyla ağdaki diğer cihazlara geçiş yapıyor. Her erişilen sistemde AnyDesk kuruluyor ve bu araç Windows hizmeti olarak yapılandırılarak yeniden başlatmalarda ayakta kalması sağlanıyor. Bazı sistemlerde AnyDesk kurulumu, önceden hazırlanmış PowerShell betiğiyle otomatikleştiriliyor; bu da süreci hızlandırıyor.
AnyDesk kurulumunun tamamlanmasının ardından çalışan AnyDesk süreçleri sonlandırılıyor, kısa bir beklemenin ardından hedef makineler yeniden başlatılıyor. Sadece 2 Haziran tarihine kadar bu yöntemle en az 10 farklı sistem hedef alındı.
Fidye Notları ve İletişim Kanalları
GodDamn fidye yazılımı, 3 Haziran’da farklı bir ağ segmentinde tespit edildi. Bu varyantta dosya uzantısı önceki saldırılarda kullanılan “.God8Damn” yerine mağdurun adını içeriyor. Saldırının sonunda bırakılan fidye notunda, mağdurların e-posta veya qTox adlı şifreli mesajlaşma uygulaması üzerinden iletişim kurmaları isteniyor.
Teknik Özet ve Güvenlik Çıkarımları
PoisonX sürücüsünün kullanılması, fidye yazılımı gruplarının savunma atlatma kabiliyetlerini artırdığını gösteriyor. Bu durum, Hyadina’nın fidye yazılımını sürekli geliştirmeye devam ettiğini ortaya koyuyor. Güvenlik ekipleri için kritik olan nokta, imzalı sürücülerle yapılan BYOVD saldırılarına karşı önlem almak.
Fidye yazılımı saldırılarında, başlangıç erişimi genellikle uzaktan yönetim araçları veya kimlik bilgisi çalma gibi yöntemlerle sağlanıyor. Ardından antivirüs ve EDR sistemleri hedef alınıyor; saldırganlar bu yazılımların işlevini durdurmak için imzalı ancak zafiyetli sürücüler kullanıyor. Böylece sistem koruması tamamen devre dışı kalıyor ve şifreleme işlemi hızla uygulanıyor.
Sistem Yöneticileri İçin Öneriler
- Yetkisiz imzalı sürücüler kullanımını sınırlamak için grup politikalarını gözden geçirin.
- EDR ve antivirus sistemlerinin sürücü tabanlı saldırılara karşı koruma modüllerini aktif tutun.
- PsExec ve AnyDesk gibi araçların ağda kullanımını izleyip anormal erişimleri tespit edin.
- Kimlik bilgisi avı ve credential harvesting saldırılarına karşı çok faktörlü kimlik doğrulama (MFA) uygulayın.
- Olay müdahale ekipleri için güncel log kayıtları ve ağ trafiği analizine dayalı tespit kuralları geliştirin.
Bu saldırı, sadece teknik açıdan değil, saldırganların kullandığı araç ve yöntemlerin çeşitliliği bakımından da kurumsal güvenlik ekiplerini zorlayacak türden. Özellikle BYOVD saldırıları, klasik antivirüs yaklaşımlarını aşarak daha sofistike bir tehdit yaratıyor. Bu yüzden güncel savunma stratejileri ve proaktif önlemler hayati önem taşıyor.
