🔍 Contexte

Source : Symantec Threat Hunter Team, publiée le 9 juillet 2026 sur security.com. L’article analyse une attaque récente impliquant le ransomware GodDamn, documenté pour la première fois le 21 mai 2026, avec une attaque observée début juin 2026.

🔗 Liens de filiation entre familles de ransomware

L’analyse révèle une continuité directe entre trois familles de ransomware :

  • Monster (2022) → première itération
  • Beast → rebranding de Monster
  • GodDamn → rebranding de Beast, avec chevauchement de code significatif confirmé

L’ensemble de ces familles est attribué au développeur suivi sous le nom Hyadina par Symantec.

🛠️ Outils et techniques utilisés lors de l’attaque

Lors de l’attaque de juin 2026, les acteurs ont utilisé :

  • AnyDesk pour l’accès à distance
  • Un toolkit de collecte de credentials basé sur NirSoft, comprenant plusieurs outils de hacking et stealers
  • Un outil d’évasion de défense en mode utilisateur déguisé en produit Symantec
  • Le driver kernel PoisonX pour désactiver les défenses endpoint
  • Déploiement final du ransomware GodDamn

📄 Nature de l’article

Il s’agit d’une analyse technique et de threat intelligence publiée par l’équipe Symantec Threat Hunter, visant à établir la filiation entre GodDamn, Beast et Monster, et à documenter les TTPs observés lors d’une attaque réelle.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Hyadina (cybercriminal) —

TTP

  • T1219 — Remote Access Software (Command and Control)
  • T1003 — OS Credential Dumping (Credential Access)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1543.003 — Create or Modify System Process: Windows Service (Persistence)
  • T1486 — Data Encrypted for Impact (Impact)

Malware / Outils

  • GodDamn (ransomware)
  • Beast (ransomware)
  • Monster (ransomware)
  • AnyDesk (tool)
  • NirSoft credential harvesting toolkit (tool)
  • PoisonX (other)

🔴 Indice de vérification factuelle : 30/100 (basse)

  • ⬜ security.com — source non référencée (0pts)
  • ✅ 1072 chars — texte partiel (10pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 6 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : Hyadina (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.security.com/threat-intelligence/goddamn-ransomware-beast-rebrand

🖴 Archive : https://web.archive.org/web/20260713070712/https://www.security.com/threat-intelligence/goddamn-ransomware-beast-rebrand