Ein neuer Ransomware-Stamm namens GodDamn sorgt mit einer Technik für Schlagzeilen, die jeden beunruhigen sollte, der glaubt, seine Antivirensoftware habe das letzte Wort darüber, was auf seinem Rechner ausgeführt wird. Wie Dark Reading berichtet, setzen die Angreifer hinter GodDamn einen bösartigen Kernel-Treiber ein, den Microsoft selbst signiert hat – und verwandeln so ein vertrauenswürdiges digitales Zertifikat in eine Waffe gegen genau die Sicherheitswerkzeuge, die es stoppen sollen. Das ist ein Paradebeispiel für einen BYOVD-Angriff – kurz für „Bring Your Own Vulnerable Driver“ – und er entwickelt sich zu einem der zuverlässigsten Tricks im Werkzeugkasten von Ransomware-Betreibern.

Was ist passiert

Die GodDamn-Ransomware hat US-Unternehmen angegriffen, indem sie einen Treiber auf Kernel-Ebene einsetzt, der eine gültige Microsoft-Signatur trägt. Da Windows signierten Treibern vertraut, tief im Betriebssystem zu agieren, konnte sich dieser Treiber an den Sicherheitsvorkehrungen vorbeischleichen und Sicherheitssoftware beenden, noch bevor die Ransomware-Nutzlast überhaupt ausgeführt wurde. Sobald der Endgeräteschutz deaktiviert ist, können die Angreifer Dateien verschlüsseln und sich weitgehend unentdeckt durch ein Netzwerk bewegen. Dass Microsoft den Treiber überhaupt erst signiert hat, ist hier das auffälligste Detail: Es bedeutet, dass der Schadcode keine Schwachstelle in Windows ausnutzen musste, sondern vielmehr das Vertrauen, das in den Signierungsprozess selbst gesetzt wird.

Wie BYOVD Ihren Sicherheits-Stack umgeht

Kernel-Treiber arbeiten auf der höchsten Berechtigungsebene eines Windows-Rechners, also effektiv unterhalb der Schicht, in der die meisten Antiviren- und Endpoint-Detection-Tools laufen. Genau deshalb wollen Angreifer einen solchen Treiber. Ein Treiber mit gültiger Signatur löst nicht dieselbe Prüfung aus wie eine unsignierte oder unbekannte ausführbare Datei, sodass er sich still laden und dann dazu verwenden lässt, andere Sicherheitsprozesse auf dem System zu deaktivieren, zu blenden oder zu beenden.

Das geht über traditionelle Virenscanner hinaus. VPN-Clients, DNS-Filtertools und andere Datenschutz- oder Sicherheitsanwendungen laufen ebenfalls als Prozesse auf demselben Betriebssystem und können genauso anfällig dafür sein, von einem Angreifer auf Kernel-Ebene, der bereits dieses Maß an Kontrolle hat, abgeschaltet zu werden. Ein VPN verschlüsselt Ihren Datenverkehr und kann helfen, bestimmte Formen von Netzwerküberwachung zu verhindern, aber es wurde nie dafür entwickelt, einen bösartigen Treiber daran zu hindern, Sicherheitssoftware auf Betriebssystemebene zu deaktivieren. Sobald ein Angreifer Kernel-Zugriff hat, operiert er unterhalb der Ebene, die die meisten Consumer- und Enterprise-Sicherheitstools einsehen können – genau deshalb ist eine mehrschichtige Verteidigung wichtig, statt sich auf ein einzelnes Tool zu verlassen.

BYOVD ist nicht neu, aber es ist zu einer bevorzugten Technik geworden, gerade weil es so gut gegen moderne Schutzmaßnahmen funktioniert. Ransomware-Betreiber bauen diese Fähigkeit zunehmend direkt in ihre Malware ein, anstatt sie als separates Werkzeug zu behandeln, das vorab eingesetzt wird – das beschleunigt Angriffe und erschwert die Erkennung. Das breitere Muster, dass Angreifer schnell handeln, sobald etwas für sie funktioniert, ist derzeit in der gesamten Ransomware-Landschaft zu beobachten. Erpressergruppen haben auch gezeigt, dass sie bereit sind, rasch gegen kritische Infrastrukturen vorzugehen, wie der Angriff von SpaceBears auf einen französischen Telekommunikationsanbieter Anfang dieses Jahres zeigte, und groß angelegte Datendiebstähle wie der von ShinyHunters gegen die NAIC beanspruchte zeigen, wie viele Daten auf dem Spiel stehen, sobald die ersten Schutzmaßnahmen versagen.

Warum das für die Sicherheit Ihrer Geräte wichtig ist

Die zentrale Lehre aus GodDamn handelt nicht von Ransomware allein, sondern von der Fragilität vertrauensbasierter Sicherheitsmodelle. Signierter Code, verifizierte Zertifikate und Herstellerfreigaben sollen alle Sicherheit signalisieren, aber Angreifer finden immer wieder Wege, genau diese Signale zu missbrauchen. Geschwindigkeit spielt ebenfalls eine Rolle. So wie Angreifer schnell handelten, um zehntausende Server zu kompromittieren, nachdem eine kritische cPanel-Authentication-Bypass-Schwachstelle bekannt wurde, sind Ransomware-Gruppen schnell darin, jede Technik – einschließlich bösartiger signierter Treiber – zu operationalisieren, die ihnen einen Vorteil gegenüber Verteidigern verschafft.

Für normale Nutzer wie für IT-Administratoren unterstreicht dies einen einfachen Punkt: Eine einzelne Sicherheitsebene, ob Antivirus, VPN oder Firewall, reicht für sich allein nicht aus. Tiefgestaffelte Verteidigung, also mehrere sich überlappende Schutzmaßnahmen, bleibt der realistischste Weg, das Risiko zu verringern, wenn Angreifer aktiv nach Wegen suchen, jede einzelne Kontrolle zu umgehen.

Was das für Sie bedeutet

Wenn Sie Windows-Systeme verwalten – ob zu Hause oder im Unternehmen –, ist die GodDamn-Ransomware-Kampagne eine Erinnerung daran, die Durchsetzung der Treibersignierung, Endpoint Detection und Patch-Verwaltung aktuell zu halten. Windows verfügt über Mechanismen, um bekannte schädliche Treiber zu blockieren; diese Schutzmaßnahmen auf dem neuesten Stand zu halten, ist essenziell, denn Angreifer verlassen sich auf veraltete Blocklisten, um angreifbare Treiber an der Erkennung vorbeizuschleusen.

Ein VPN bleibt ein wertvoller Bestandteil Ihres Datenschutz- und Sicherheitswerkzeugkastens, insbesondere um Datenverkehr in nicht vertrauenswürdigen Netzwerken zu verschlüsseln und die Angriffsfläche für bestimmte Überwachungsformen zu verringern – aber es sollte als eine von mehreren Schichten verstanden werden, nicht als vollständiger Schutz gegen ausgeklügelte Malware. Die Kombination eines seriösen VPN mit aktueller Antivirensoftware, zeitnahen Betriebssystem-Patches und einem vorsichtigen Umgang mit Downloads und E-Mail-Anhängen ergibt eine deutlich stärkere Gesamtposition, als sich auf ein einzelnes Tool zu verlassen.

Umsetzbare Handlungsempfehlungen

Halten Sie Windows und sämtliche Sicherheitssoftware vollständig auf dem neuesten Stand, denn Microsoft aktualisiert regelmäßig die Liste angreifbarer Treiber, um solche Lücken zu schließen. Aktivieren Sie, wo unterstützt, die Speicherintegrität und die Kernisolationsfunktionen in den Windows-Sicherheitseinstellungen, da diese BYOVD-Angriffe erschweren können. Sichern Sie kritische Daten regelmäßig und bewahren Sie Kopien offline auf, damit eine Ransomware-Verschlüsselung Ihre Dateien nicht als Geiseln nehmen kann. Betrachten Sie Ihr VPN als Teil einer umfassenderen Sicherheitsstrategie und nicht als eigenständigen Schutzschild, indem Sie es mit Endgeräteschutz und sicheren Surfgewohnheiten kombinieren. Bleiben Sie schließlich über neue BYOVD- und Ransomware-Techniken informiert, denn zu verstehen, wie Angreifer vertrauensbasierte Abwehrmechanismen umgehen, ist der erste Schritt, um diese Lücken zu schließen, bevor sie Sie erreichen.