GodDamn Ransomware ใช้ PoisonX Driver ปิดการทำงานระบบป้องกันภัย
GodDamn Ransomware ใช้ PoisonX Driver ปิดระบบป้องกันภัย ค้นพบโดยนักวิจัย Symantec คาดว่าเป็นเวอร์ชันรีแบรนด์ของ Beast Ransomware
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ตรวจพบแรนซัมแวร์ตระกูลใหม่ที่ใช้ชื่อว่า GodDamn ซึ่งมีกลยุทธ์การโจมตีที่น่าสนใจ ด้วยการใช้ไดรเวอร์ระดับเคอร์เนลที่ชื่อ PoisonX เพื่อปิดการทำงานของซอฟต์แวร์รักษาความปลอดภัย
ทีมนักล่าภัยคุกคามจาก Symantec ได้เผยแพร่รายงานล่าสุดระบุว่า แรนซัมแวร์นี้ถูกพบครั้งแรกในระบบจริงเมื่อวันที่ 21 พฤษภาคม 2026 และมีการประเมินว่าเป็นเวอร์ชันรีแบรนด์ของ Beast Ransomware
รายละเอียดของ GodDamn Ransomware
GodDamn Ransomware เป็นภัยคุกคามรูปแบบใหม่ที่มุ่งเน้นการโจมตีระบบปฏิบัติการ Windows เป็นหลัก โดยใช้เทคนิคการแทรกซึมผ่านเคอร์เนลไดรเวอร์ที่ชื่อ PoisonX ซึ่งสามารถเข้าถึงระดับลึกของระบบปฏิบัติการและปิดการทำงานของโปรแกรมป้องกันภัยได้อย่างมีประสิทธิภาพ
การทำงานของ GodDamn เริ่มต้นจากการติดตั้ง PoisonX Driver เข้าสู่ระบบผ่านช่องโหว่หรือวิศวกรรมสังคม จากนั้นไดรเวอร์จะทำการแก้ไขการตั้งค่าความปลอดภัยของระบบและปิดการทำงานของซอฟต์แวร์แอนตี้ไวรัส ทำให้แรนซัมแวร์สามารถเข้ารหัสไฟล์ได้โดยไม่ถูกตรวจจับ
ความเชื่อมโยงกับ Beast Ransomware
จากรายงานของ Symantec วิเคราะห์ว่า GodDamn มีความคล้ายคลึงกับ Beast Ransomware ในหลายด้าน ทั้งในเรื่องของโครงสร้างโค้ดและวิธีการโจมตี ทำให้นักวิจัยเชื่อว่านี่คือการรีแบรนด์หรือพัฒนาต่อยอดจาก Beast Ransomware
การรีแบรนด์ครั้งนี้ช่วยให้กลุ่มผู้โจมตีสามารถหลีกเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัยที่เคยรู้จัก Beast Ransomware มาก่อน และยังเป็นการเพิ่มความยากลำบากในการวิเคราะห์และติดตามแหล่งที่มาของภัยคุกคาม
กลยุทธ์การหลบเลี่ยงการตรวจจับ
หนึ่งในจุดเด่นของ GodDamn คือการใช้ PoisonX Driver ซึ่งเป็นไดรเวอร์ระดับเคอร์เนลที่ออกแบบมาเพื่อปิดการทำงานของระบบป้องกันโดยเฉพาะ โดยไดรเวอร์นี้สามารถทำงานร่วมกับระบบปฏิบัติการได้อย่างแนบเนียนและยากต่อการตรวจจับ
นอกจากนี้ PoisonX ยังสามารถจัดการกับบริการรักษาความปลอดภัยต่างๆ เช่น Windows Defender, ไฟร์วอลล์ และซอฟต์แวร์แอนตี้ไวรัสของบริษัทอื่น ทำให้แรนซัมแวร์สามารถทำงานได้อย่างอิสระและไม่มีอุปสรรคในการเข้ารหัสข้อมูล
มาตรการป้องกัน
เพื่อป้องกันภัยคุกคามจาก GodDamn Ransomware ผู้ใช้งานควรอัปเดตระบบปฏิบัติการและซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดเสมอ เนื่องจากช่องโหว่มักถูกแก้ไขในการอัปเดตแต่ละครั้ง
นอกจากนี้ควรติดตั้งโซลูชันความปลอดภัยที่สามารถตรวจจับและบล็อกไดรเวอร์ที่ไม่ได้รับอนุญาต รวมถึงการจำกัดสิทธิ์การเข้าถึงระบบของผู้ใช้งานเพื่อลดความเสี่ยงในการติดตั้งมัลแวร์
Reference
The Hacker News
หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม
💬 Line @monsteronline
☎️ Tel 02-026-6664
📩 Email [email protected]
🌐 ดูสินค้าเพิ่มเติม mon.co.th
แชทผ่าน LINEดูสินค้าทั้งหมด