Una nueva cepa de ransomware llamada GodDamn está dando de qué hablar por una técnica que debería preocupar a cualquiera que asuma que su software antivirus tiene la última palabra sobre lo que se ejecuta en su equipo. Según un reportaje de Dark Reading, los atacantes detrás de GodDamn están usando un controlador de kernel malicioso que el propio Microsoft firmó, convirtiendo un certificado digital de confianza en un arma contra las mismas herramientas de seguridad destinadas a detenerlo. Este es un ejemplo de manual de un ataque BYOVD, siglas en inglés de «Bring Your Own Vulnerable Driver», y se está convirtiendo en uno de los trucos más fiables del repertorio de los operadores de ransomware.
Lo que sucedió
El ransomware GodDamn ha estado atacando a empresas estadounidenses desplegando un controlador a nivel de kernel que lleva una firma legítima de Microsoft. Dado que Windows confía en que los controladores firmados operen en lo más profundo del sistema operativo, este controlador fue capaz de eludir las defensas y terminar el software de seguridad antes de que la carga útil del ransomware se ejecutara. Una vez que la protección del endpoint queda inhabilitada, los atacantes tienen vía libre para cifrar archivos y moverse por una red prácticamente sin ser detectados. El hecho de que Microsoft firmara el controlador en primer lugar es el detalle más llamativo: significa que el código malicioso no necesitó explotar una falla en Windows, sino más bien abusar de la confianza depositada en el propio proceso de firma.
Cómo el BYOVD elude tu conjunto de herramientas de seguridad
Los controladores de kernel operan al nivel de privilegio más alto en una máquina con Windows, efectivamente por debajo de la capa donde se ejecutan la mayoría de las herramientas de antivirus y detección de endpoints. Esa es precisamente la razón por la que los atacantes quieren uno. Un controlador con una firma válida no desencadena el mismo escrutinio que un ejecutable sin firmar o desconocido, por lo que puede cargarse silenciosamente y luego usarse para deshabilitar, cegar o eliminar otros procesos de seguridad en ejecución en el sistema.
Esto va más allá del antivirus tradicional. El software cliente de VPN, las herramientas de filtrado de DNS y otras aplicaciones de privacidad o seguridad también se ejecutan como procesos en el mismo sistema operativo, y pueden ser igual de vulnerables a ser cerradas por un atacante con control a nivel de kernel que ya tiene ese grado de control. Una VPN cifra tu tráfico y puede ayudar a prevenir ciertos tipos de vigilancia en la red, pero nunca fue diseñada para impedir que un controlador malicioso desactive el software de seguridad a nivel del sistema operativo. Una vez que un atacante tiene acceso al kernel, está operando por debajo del alcance de la mayoría de las herramientas de seguridad para consumidores y empresas, razón exacta por la que la defensa en capas importa en lugar de depender de una única herramienta.
El BYOVD no es nuevo, pero se ha convertido en una técnica predilecta precisamente porque funciona muy bien contra las defensas modernas. Los operadores de ransomware están incorporando cada vez más esta capacidad directamente en su malware en lugar de tratarlo como una herramienta separada desplegada de antemano, lo que acelera los ataques y dificulta la detección. El patrón más amplio de atacantes que se mueven rápido una vez que encuentran algo que funciona es visible en todo el panorama actual del ransomware. Los grupos de extorsión también han demostrado estar dispuestos a atacar rápidamente infraestructuras críticas, como se vio cuando SpaceBears atacó a un operador de telecomunicaciones francés a principios de este año, y operaciones de robo de datos a gran escala como la reivindicada por ShinyHunters contra la NAIC muestran cuántos datos están en juego una vez que fallan las defensas iniciales.
Por qué esto es importante para la seguridad de tu dispositivo
La lección principal de GodDamn no es sobre el ransomware en sí, sino sobre la fragilidad de los modelos de seguridad basados en la confianza. El código firmado, los certificados verificados y la aprobación del fabricante están pensados para indicar seguridad, pero los atacantes siguen encontrando formas de abusar precisamente de esos indicadores. La velocidad también es un factor. Así como los atacantes se movieron rápidamente para comprometer decenas de miles de servidores después de que se revelara una vulnerabilidad crítica de omisión de autenticación en cPanel, los grupos de ransomware son rápidos en poner en práctica cualquier técnica que les dé ventaja sobre los defensores, incluidos los controladores firmados maliciosos.
Para los usuarios cotidianos y los administradores de TI por igual, esto refuerza una idea sencilla: una sola capa de seguridad, ya sea antivirus, VPN o firewall, no es suficiente por sí sola. La defensa en profundidad, es decir, múltiples protecciones superpuestas, sigue siendo la forma más realista de reducir el riesgo cuando los atacantes están encontrando activamente formas de eludir cualquier control único.
Lo que esto significa para ti
Si administras sistemas Windows, ya sea en casa o en un entorno empresarial, la campaña de ransomware GodDamn es un recordatorio para mantener actualizados la aplicación de firmas de controladores, la detección de endpoints y la gestión de parches. Windows dispone de mecanismos para bloquear controladores maliciosos conocidos, y mantener esas defensas al día es esencial, ya que los atacantes confían en listas de bloqueo desactualizadas para colar controladores vulnerables sin ser detectados.
Una VPN sigue siendo una parte valiosa de tu conjunto de herramientas de privacidad y seguridad, especialmente para cifrar el tráfico en redes no confiables y limitar la exposición a ciertas formas de vigilancia, pero debe entenderse como una capa entre varias y no como una defensa completa contra el malware sofisticado. Combinar una VPN de buena reputación con software antivirus actualizado, parches puntuales del sistema operativo y un manejo prudente de descargas y archivos adjuntos de correo electrónico te proporciona una postura general mucho más sólida que confiar en una única herramienta.
Recomendaciones prácticas
Mantén Windows y todo el software de seguridad completamente actualizados, ya que Microsoft actualiza periódicamente su lista de controladores vulnerables bloqueados para cerrar brechas como esta. Habilita las características de integridad de memoria y aislamiento del núcleo en la configuración de seguridad de Windows donde sean compatibles, ya que pueden dificultar los ataques BYOVD. Haz copias de seguridad de los datos críticos con regularidad y guarda copias sin conexión, para que el cifrado del ransomware no pueda secuestrar tus archivos. Considera tu VPN como parte de una estrategia de seguridad más amplia en lugar de un escudo independiente, combinándola con protección en el endpoint y hábitos de navegación seguros. Por último, mantente informado sobre las técnicas emergentes de BYOVD y ransomware, ya que entender cómo los atacantes eluden las defensas basadas en la confianza es el primer paso para cerrar esas brechas antes de que te alcancen.




