GodDamn-Ransomware: Microsoft-Treiber deaktiviert Sicherheitssoftware
Veröffentlicht: 09.07.2026 um 15:39 Uhr, Redaktion boerse-global.de
Eine neue Ransomware-Variante namens GodDamn setzt auf eine perfide Taktik: Sie nutzt einen legitimen, von Microsoft signierten Kernel-Treiber, um Sicherheitssoftware systematisch auszuschalten. Das berichten Sicherheitsforscher von Symantec.
Die Malware ist der Nachfolger der bekannten Beast- und Monster-Ransomware-Familien und wird einem Entwickler namens Hyadina zugeschrieben. Erstmals im Umlauf ist GodDamn seit dem 21. Mai 2026.
Wie die Angreifer vorgehen
Die Angriffskette ist hochkomplex. Im Kern steckt die sogenannte BYOVD-Technik („Bring Your Own Vulnerable Driver"). Die Hacker bringen einen anfälligen, aber offiziell signierten Treiber auf das Zielsystem – in diesem Fall den PoisonX-Treiber (Dateiname: g11.sys).
Dieser Treiber operiert auf Kernel-Ebene, der tiefsten und privilegiertesten Schicht des Betriebssystems. Von dort aus kann er Sicherheitsprozesse beenden, die die Verschlüsselung eigentlich blockieren würden. Ein Teufelskreis: Der Treiber ist signiert, also vertrauenswürdig – doch genau das macht ihn zur Waffe.
Zur Tarnung verwenden die Angreifer zudem ein Tool namens symantec.exe – das nichts mit dem gleichnamigen Sicherheitsunternehmen zu tun hat.
Chronologie eines Angriffs
Ein konkreter Vorfall aus dem Juni 2026 zeigt, wie schnell die Gruppe vorgeht:
- 29. Mai: Die Hacker installieren AnyDesk als Fernzugriffs-Tool
- 30. Mai: Einsatz einer Credential-Harvesting-Software von NirSoft
- 1. Juni: Seitwärtsbewegung im Netzwerk mit PsExec
- 2. Juni: AnyDesk wird auf mindestens zehn Rechnern für unbeaufsichtigten Zugriff konfiguriert
- 3. Juni: Auslösung der Ransomware – nachdem PoisonX die lokalen Schutzsysteme neutralisiert hat
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenlosen Cyber-Security-Ratgeber herunterladen
Die Ransomware benennt verschlüsselte Dateien mit dem Namen des angegriffenen Unternehmens als Dateiendung um. Ein Lösegeld-Hinweis verweist die Opfer auf Kontaktaufnahme per E-Mail oder über den qTox-Messenger.
Gefährlicher Trend: Treiber als Waffe
GodDamn ist kein Einzelfall. Die Sicherheitsforscher von ESET haben im ersten Halbjahr 2026 mehr als 100 verschiedene Werkzeuge identifiziert, die speziell darauf ausgelegt sind, Endpoint Detection and Response (EDR)-Systeme zu deaktivieren.
Die meisten dieser Tools nutzen die BYOVD-Technik. Über 60 Malware-Beispiele nutzen einen Pool von mehr als 40 anfälligen Treibern. Auch andere Gruppen wie die Gentlemen-Ransomware (seit Mitte 2025 aktiv) setzen auf eigene EDR-Killer wie GentleKiller.
Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Gratis-Report zu neuen Cyberrisiken sichern
Weitere Eskalation der Angriffsstrategien
Die Entwicklung zeigt: Ransomware-Groups werden technisch immer kreativer. Die Everest-Gruppe nutzt inzwischen Wake-on-LAN-Pakete, um schlafende Rechner im Netzwerk aufzuwecken und sicherzustellen, dass sie für die Verschlüsselung eingeschaltet sind.
Ein weiterer Akteur namens Cavern Manticore setzt in Israel auf DLL-Sideloading – eine Technik, bei der schädlicher Code über vertrauenswürdige Verwaltungstools eingeschleust wird.
Für Unternehmen bedeutet das: Klassische Endpoint-Schutzlösungen allein reichen nicht mehr. Die Überwachung von Treiberinstallationen und die Kontrolle von Fernzugriffs-Tools werden zur zentralen Sicherheitsaufgabe.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
