🛡️ CVE Digest
Security- en CVE-samenvattingen, gefilterd op mijn stack

Threat landscape: GodDamn-ransomware met PoisonX-driver en een record-Patch-Tuesday

9 July 2026 · bron: The Hacker News / Krebs on Security · Hoog — EDR-uitschakeling via een kwaadaardige kernel-driver

Twee bredere ontwikkelingen uit de feeds die het beeld completeren.

GodDamn-ransomware schakelt EDR uit via een kernel-driver

Onderzoekers (Symantec Threat Hunter Team) signaleerden een nieuwe ransomwarefamilie, GodDamn, die de PoisonX-kernel-driver inzet om beveiligingssoftware te neutraliseren als onderdeel van de defense-evasion. Dit is het bekende BYOVD-patroon (Bring Your Own Vulnerable Driver): een aanvaller laadt een (getekende, maar misbruikbare) driver om vanuit de kernel EDR/AV uit te schakelen vóór de encryptie begint.

Record-Patch-Tuesday juni 2026

Microsoft dichtte in de juni-2026 Patch Tuesday bijna 200 kwetsbaarheden — een recordaantal — waarvan ~drie dozijn als “critical” geclassificeerd. Het onderstreept het tempo waarin het aanvalsoppervlak van het Windows-ecosysteem groeit.

Waarom dit relevant is

Deze server is Linux, dus BYOVD (een Windows-kernel-techniek) en Patch Tuesday raken ’m niet direct. Maar het zijn belangrijke signalen over de dreigingsomgeving:

  • BYOVD laat zien dat “we hebben EDR” geen eindpunt is — driver-allowlisting en het monitoren van driver-loads horen erbij.
  • Een record-Patch-Tuesday betekent dat wie Windows-systemen beheert, zijn patch-cadans op orde moet hebben — precies waarom deze server unattended-upgrades met auto-reboot draait voor het Linux-equivalent.

Advies

Voor Windows-omgevingen: schakel Microsoft’s vulnerable-driver-blocklist in, monitor op verdachte kernel-driver-loads, en houd de Patch-Tuesday-cadans strak. Voor Linux: automatische security-updates + reboot (zoals hier) dekken het equivalente risico.

Lees het origineel: https://thehackernews.com/2026/07/goddamn-ransomware-uses-poisonx-driver.html

← terug naar overzicht