🔍 Contexte
Source : Symantec Threat Hunter Team, publiée le 9 juillet 2026 sur security.com. L’article analyse une attaque récente impliquant le ransomware GodDamn, documenté pour la première fois le 21 mai 2026, avec une attaque observée début juin 2026.
🔗 Liens de filiation entre familles de ransomware
L’analyse révèle une continuité directe entre trois familles de ransomware :
- Monster (2022) → première itération
- Beast → rebranding de Monster
- GodDamn → rebranding de Beast, avec chevauchement de code significatif confirmé
L’ensemble de ces familles est attribué au développeur suivi sous le nom Hyadina par Symantec.
🛠️ Outils et techniques utilisés lors de l’attaque
Lors de l’attaque de juin 2026, les acteurs ont utilisé :
- AnyDesk pour l’accès à distance
- Un toolkit de collecte de credentials basé sur NirSoft, comprenant plusieurs outils de hacking et stealers
- Un outil d’évasion de défense en mode utilisateur déguisé en produit Symantec
- Le driver kernel PoisonX pour désactiver les défenses endpoint
- Déploiement final du ransomware GodDamn
📄 Nature de l’article
Il s’agit d’une analyse technique et de threat intelligence publiée par l’équipe Symantec Threat Hunter, visant à établir la filiation entre GodDamn, Beast et Monster, et à documenter les TTPs observés lors d’une attaque réelle.
🧠 TTPs et IOCs détectés
Acteurs de menace
- Hyadina (cybercriminal) —
TTP
- T1219 — Remote Access Software (Command and Control)
- T1003 — OS Credential Dumping (Credential Access)
- T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
- T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
- T1543.003 — Create or Modify System Process: Windows Service (Persistence)
- T1486 — Data Encrypted for Impact (Impact)
Malware / Outils
- GodDamn (ransomware)
- Beast (ransomware)
- Monster (ransomware)
- AnyDesk (tool)
- NirSoft credential harvesting toolkit (tool)
- PoisonX (other)
🔴 Indice de vérification factuelle : 30/100 (basse)
- ⬜ security.com — source non référencée (0pts)
- ✅ 1072 chars — texte partiel (10pts)
- ⬜ aucun IOC extrait (0pts)
- ⬜ pas d’IOC à vérifier (0pts)
- ✅ 6 TTPs MITRE identifiées (15pts)
- ⬜ date RSS ou approximée (0pts)
- ✅ acteur(s) identifié(s) : Hyadina (5pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://www.security.com/threat-intelligence/goddamn-ransomware-beast-rebrand