🛡️ Executive Summary
- GodDamn ransomware è il nuovo rebrand di Beast, già evoluzione di Monster, tracciato da Symantec come Hyadina.
- Il malware usa il driver kernel PoisonX per disabilitare le difese endpoint prima della cifratura, aumentando l’efficacia dell’attacco.
- L’intrusione osservata mostra quattro giorni di dwell time con AnyDesk, furto credenziali, PsExec e toolkit NirSoft.
Il gruppo ransomware tracciato da Symantec Threat Hunter Team come Hyadina ha cambiato nuovamente identità, passando da Beast a GodDamn dopo una precedente evoluzione dal ransomware Monster. Il nuovo ceppo, osservato nel 2026 e analizzato in un attacco contro una rete enterprise, non rappresenta soltanto un cambio di nome, ma introduce una capacità di evasione più aggressiva basata sul driver kernel PoisonX. Il componente consente agli operatori di neutralizzare le difese endpoint a livello kernel prima della distribuzione del payload di cifratura, riducendo la probabilità che antivirus ed EDR blocchino l’ultima fase dell’attacco. La catena osservata include accesso remoto con AnyDesk, raccolta di credenziali tramite tool NirSoft e Mimikatz, movimento laterale con PsExec e un dwell time di circa quattro giorni. Il caso conferma la crescente centralità delle tecniche BYOVD e dei driver firmati o abusabili nelle operazioni ransomware moderne.
Cosa leggere
Da Monster a Beast fino a GodDamn
La storia operativa di Hyadina inizia nel 2022 con Monster, ransomware scritto principalmente in Delphi e orientato a sistemi Windows a 32 bit. Fin dalle prime campagne il gruppo mostra caratteristiche tipiche del modello ransomware-as-a-service, con affiliati incaricati delle intrusioni e un set di strumenti pensato per sottrarre credenziali prima della cifratura. Nel 2024 l’operazione viene ribattezzata Beast, mantenendo continuità tecnica con Monster ma introducendo maggiore personalizzazione, migliori prestazioni di cifratura e supporto esteso anche a Linux e VMware ESXi. Il passaggio a GodDamn, osservato nel 2026, rappresenta la terza iterazione pubblica della stessa linea evolutiva. Secondo Symantec, il nuovo ransomware mostra sovrapposizioni significative di codice con Beast, elemento che rafforza l’ipotesi di un rebrand più che di una famiglia completamente nuova. La continuità riguarda anche alcune scelte operative, tra cui l’uso di strumenti per credential harvesting, accesso remoto e ricognizione interna prima della distribuzione del payload finale.
GodDamn introduce PoisonX nella fase di evasione
La principale novità tecnica di GodDamn è l’impiego del driver kernel PoisonX, identificato nel caso analizzato come g11.sys. Il driver viene usato per disabilitare software di sicurezza operando a un livello privilegiato del sistema, dove gli strumenti endpoint hanno minori possibilità di intervento se non dispongono di controlli specifici sul caricamento dei driver. Symantec evidenzia un elemento rilevante: PoisonX appare firmato da Microsoft come Microsoft Windows Hardware Compatibility Publisher, quindi viene presentato al sistema come un componente legittimo dal punto di vista della firma.

La dinamica si colloca nel perimetro delle tecniche BYOVD, ma con una particolarità importante: invece di limitarsi all’abuso di un driver legittimo e vulnerabile, PoisonX sembra essere un driver malevolo che gli sviluppatori sono riusciti a far firmare, rendendolo particolarmente pericoloso per i controlli basati solo sulla validità della firma digitale. Il driver accetta comandi IOCTL che permettono di terminare processi di sicurezza e rimuovere hook a livello utente, preparando il terreno alla cifratura.
Accesso remoto, persistenza e movimento laterale
L’attacco ricostruito mostra una fase preparatoria articolata, con circa quattro giorni tra le prime attività osservate e il rilevamento del ransomware. Gli operatori utilizzano AnyDesk come strumento di accesso remoto, posizionandolo anche in percorsi non standard come cartelle utente, tra cui Music, e configurandolo per l’accesso non presidiato. La persistenza viene rafforzata registrando il software come servizio Windows e usando script PowerShell per automatizzare le impostazioni. Una volta mantenuto l’accesso, gli attaccanti eseguono comandi di ricognizione come ipconfig e tasklist, montano condivisioni amministrative e usano PsExec per il movimento laterale. La presenza di strumenti legittimi o comunemente abusati rende la catena più difficile da distinguere da attività amministrative anomale ma non immediatamente malevole. Questo approccio conferma una tendenza consolidata nel ransomware enterprise: il payload di cifratura arriva solo dopo una fase di esplorazione, raccolta credenziali, disabilitazione delle difese e preparazione dell’impatto massimo sulla rete.
Credential harvesting con Mimikatz e tool NirSoft
La raccolta di credenziali resta una componente centrale dell’operazione GodDamn. Gli attaccanti distribuiscono un toolkit che include Mimikatz e numerosi strumenti NirSoft, tra cui WebBrowserPassView, ChromePass, PasswordFox, MailPassView, VNCPassView, SniffPass, WirelessKeyView, CredentialsFileView, ExtPassword, PSTPassword e NetPass. Questi tool permettono di estrarre password da browser, client email, reti wireless, archivi locali e applicazioni installate sulle macchine compromesse. Le credenziali ottenute vengono poi impiegate per accedere a condivisioni amministrative, propagarsi lateralmente e aumentare il numero di host raggiungibili prima della cifratura. La scelta di riutilizzare un set di strumenti già osservato nelle precedenti fasi Monster e Beast mostra come Hyadina mantenga una base operativa stabile, aggiornando soprattutto le componenti di evasione. La presenza di archivi o directory dedicate al toolkit, spesso in percorsi utente poco coerenti con l’uso normale, rappresenta un indicatore utile per attività di hunting e triage.
BYOVD e driver firmati diventano un rischio strutturale
Il caso GodDamn conferma che l’abuso dei driver kernel non è più una tecnica di nicchia, ma una componente sempre più comune nelle campagne ransomware. Negli ultimi anni le difese endpoint sono diventate più efficaci nel rilevare payload, script malevoli e strumenti di post-exploitation, spingendo gli attaccanti a tentare la neutralizzazione diretta degli EDR prima della cifratura. Le tecniche BYOVD consentono di sfruttare driver firmati e caricabili dal sistema per ottenere capacità a livello kernel, terminare processi protetti o interferire con i meccanismi di monitoraggio. Nel caso di PoisonX, la criticità aumenta perché il driver risulta firmato e non appare semplicemente come un componente vulnerabile recuperato da software legittimo. Per i difensori questo cambia la priorità dei controlli: non basta verificare se un driver sia firmato, ma occorre valutare reputazione, comportamento, percorso di caricamento, hash, catena di distribuzione e compatibilità con liste di blocco aggiornate. La sola fiducia nella firma digitale diventa insufficiente in scenari di attacco avanzato.
Indicatori operativi e raccomandazioni per le aziende
Le organizzazioni dovrebbero monitorare l’uso di AnyDesk e di altri strumenti di accesso remoto in percorsi anomali, soprattutto quando vengono registrati come servizi o configurati per accesso non presidiato senza change autorizzati. Un altro fronte prioritario riguarda il rilevamento di toolkit NirSoft, Mimikatz, esecuzioni di PsExec, montaggio di share amministrative e comandi di disabilitazione di Windows Defender o di altri agenti di sicurezza. Sul piano kernel è necessario attivare controlli sul caricamento dei driver, usare blocklist aggiornate, applicare policy di Windows Defender Application Control dove possibile e correlare eventi di driver loading con attività di rete e processi sospetti. La segmentazione della rete, la limitazione degli account con privilegi amministrativi locali, l’uso di MFA per accessi remoti e la revisione periodica delle credenziali riducono il raggio d’azione degli operatori dopo l’accesso iniziale. GodDamn dimostra che il ransomware moderno non dipende solo dal payload finale, ma da una sequenza di attività preparatorie che devono essere rilevate prima che il driver malevolo disabiliti le difese e renda possibile la cifratura su larga scala.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.









