Un nuovo ceppo di ransomware chiamato GodDamn sta facendo notizia per una tecnica che dovrebbe preoccupare chiunque creda che il proprio software antivirus abbia l'ultima parola su ciò che viene eseguito sul proprio computer. Secondo quanto riportato da Dark Reading, gli aggressori dietro GodDamn stanno usando un driver kernel dannoso che Microsoft stessa ha firmato, trasformando un certificato digitale affidabile in un'arma contro gli strumenti di sicurezza che dovrebbe fermare. Questo è un classico esempio di attacco BYOVD, abbreviazione di "Bring Your Own Vulnerable Driver", e sta diventando uno dei trucchi più affidabili nel repertorio degli operatori ransomware.
Cosa è successo
Il ransomware GodDamn ha colpito aziende statunitensi distribuendo un driver a livello kernel dotato di una firma legittima di Microsoft. Poiché Windows considera attendibili i driver firmati per operare in profondità nel sistema operativo, questo driver è riuscito a eludere le difese e a terminare il software di sicurezza prima che il carico utile ransomware venisse eseguito. Una volta disabilitata la protezione endpoint, gli aggressori sono liberi di cifrare i file e muoversi nella rete in gran parte inosservati. Il fatto che Microsoft abbia firmato il driver in primo luogo è il dettaglio più eclatante: significa che il codice dannoso non ha avuto bisogno di sfruttare una falla in Windows, quanto piuttosto la fiducia riposta nel processo di firma stesso.
Come il BYOVD bypassa la tua infrastruttura di sicurezza
I driver del kernel operano al massimo livello di privilegio su un computer Windows, di fatto al di sotto del livello su cui gira la maggior parte degli strumenti antivirus e di rilevamento endpoint. È proprio per questo che gli aggressori li vogliono. Un driver con una firma valida non suscita lo stesso scrutinio di un eseguibile non firmato o sconosciuto, quindi può caricarsi silenziosamente e poi essere usato per disabilitare, accecare o arrestare altri processi di sicurezza in esecuzione sul sistema.
Questo discorso va oltre l'antivirus tradizionale. Anche i software client VPN, gli strumenti di filtraggio DNS e altre applicazioni per la privacy o la sicurezza girano come processi sullo stesso sistema operativo e possono essere altrettanto vulnerabili all'arresto da parte di un aggressore con controllo a livello kernel. Una VPN cifra il traffico e può aiutare a prevenire certi tipi di intercettazione di rete, ma non è mai stata progettata per impedire a un driver dannoso di disabilitare il software di sicurezza a livello di sistema operativo. Una volta che l'aggressore ha accesso al kernel, opera al di sotto del livello visibile alla maggior parte degli strumenti di sicurezza consumer e aziendali, ed è proprio per questo che una difesa a più livelli è importante, invece di affidarsi a un unico strumento.
Il BYOVD non è una novità, ma è diventato una tecnica preferita proprio perché funziona così bene contro le difese moderne. Gli operatori ransomware integrano sempre più questa capacità direttamente nel malware, anziché trattarla come uno strumento separato da distribuire preventivamente, accelerando gli attacchi e rendendone più difficile il rilevamento. Il modello più ampio di aggressori che si muovono rapidamente non appena trovano qualcosa che funziona è attualmente visibile in tutto il panorama ransomware. I gruppi di estorsione hanno anche mostrato la volontà di colpire rapidamente le infrastrutture critiche, come si è visto quando SpaceBears ha preso di mira un operatore telefonico francese all'inizio di quest'anno, e operazioni di furto di dati su larga scala come quella rivendicata da ShinyHunters contro il NAIC mostrano quanti dati siano a rischio una volta che le difese iniziali cedono.
Perché questo è importante per la sicurezza del tuo dispositivo
La lezione centrale di GodDamn non riguarda il ransomware in sé, ma la fragilità dei modelli di sicurezza basati sulla fiducia. Codice firmato, certificati verificati e approvazione del fornitore dovrebbero segnalare sicurezza, ma gli aggressori continuano a trovare modi per abusare proprio di quei segnali. Anche la velocità è un fattore. Così come gli aggressori si sono mossi rapidamente per compromettere decine di migliaia di server dopo la divulgazione di una vulnerabilità di bypass dell'autenticazione di cPanel, le bande ransomware sono pronte a rendere operativa qualsiasi tecnica, inclusi i driver firmati dannosi, che dia loro un vantaggio sui difensori.
Per gli utenti comuni e per gli amministratori IT, questo rafforza un punto semplice: un singolo livello di sicurezza, che sia un antivirus, una VPN o un firewall, non è sufficiente da solo. La difesa in profondità, ovvero più protezioni sovrapposte, resta il modo più realistico per ridurre il rischio quando gli aggressori trovano attivamente modi per aggirare qualsiasi singolo controllo.
Cosa significa per te
Se gestisci sistemi Windows, a casa o in un contesto aziendale, la campagna ransomware GodDamn è un promemoria per mantenere aggiornati l'applicazione della firma dei driver, il rilevamento degli endpoint e la gestione delle patch. Windows dispone di meccanismi per bloccare i driver noti come dannosi e mantenere queste difese aggiornate è essenziale, poiché gli aggressori fanno affidamento su blocklist obsolete per introdurre di nascosto driver vulnerabili.
Una VPN rimane una parte preziosa del tuo kit di strumenti per la privacy e la sicurezza, in particolare per cifrare il traffico su reti non affidabili e limitare l'esposizione a certe forme di sorveglianza, ma va intesa come uno strato tra i tanti, non come una difesa completa contro malware sofisticato. Abbinare una VPN affidabile a un software antivirus aggiornato, a patch tempestive del sistema operativo e a una gestione cauta di download e allegati email ti offre una postura complessiva molto più solida rispetto all'affidarsi a un unico strumento.
Consigli pratici
Mantieni Windows e tutti i software di sicurezza completamente aggiornati, poiché Microsoft aggiorna periodicamente l'elenco dei driver vulnerabili da bloccare per colmare lacune come questa. Abilita le funzionalità di integrità della memoria e isolamento del core nelle impostazioni di Sicurezza di Windows, dove supportate, poiché possono rendere più difficili gli attacchi BYOVD. Esegui regolarmente il backup dei dati critici e conserva copie offline, in modo che la cifratura ransomware non possa tenere in ostaggio i tuoi file. Tratta la tua VPN come parte di una strategia di sicurezza più ampia, piuttosto che come uno scudo autonomo, abbinandola a protezione endpoint e abitudini di navigazione sicure. Infine, tieniti informato sulle tecniche emergenti di BYOVD e ransomware, perché capire come gli aggressori aggirano le difese basate sulla fiducia è il primo passo per colmare quelle lacune prima che ti raggiungano.




