PoisonX-Treiber: Hacker hebeln Windows-Schutz mit Microsoft-Signatur aus
Veröffentlicht: 10.07.2026 um 21:38 Uhr, Redaktion boerse-global.de
Die als Hyadina bekannte Gruppe nutzt den PoisonX-Treiber für ihre Angriffe.
Präzises Vorgehen gegen Schutzsysteme
Der Angriff beginnt schleichend. Im Mai 2026 verschafften sich die Hacker zunächst Zugang zu einem System und installierten die Fernwartungssoftware AnyDesk. Wenige Tage später folgte der entscheidende Schlag: Der PoisonX-Treiber landete unter dem Tarnnamen „g11.sys“ auf dem Rechner. Um nicht aufzufallen, tarnten die Angreifer die Datei mit dem Namen einer legitimen Sicherheitssoftware.
Der Clou: Microsoft hat den Treiber digital signiert. Das erlaubt der Schadsoftware, tief in den Betriebssystemkern einzugreifen. Sie beendet Kernel-Callbacks, die normalerweise für die Überwachung durch Endpunkt-Schutzsoftware (EDR) zuständig sind. Erst als die Schutzmechanismen ausgehebelt waren, setzten die Angreifer 14 verschiedene Werkzeuge ein, um Zugangsdaten zu stehlen.
Ausbreitung und Verschlüsselung
Die Bewegung im Netzwerk erfolgte über legitime Administrationswerkzeuge wie PsExec. Bis Anfang Juni hatten die Angreifer die Kontrolle über mindestens zehn Hosts. Nach einer mehrtägigen Verweildauer startete die Verschlüsselung. Betroffene Dateien erhielten die Endung „.God8Damn“ oder den Namen des Opfers.
GodDamn ist die dritte Version einer Schadsoftware-Familie, die zuvor als Monster (März 2022) und Beast bekannt war. Der PoisonX-Treiber wurde im April 2026 veröffentlicht und wird auch von anderen Gruppen im Rahmen von „Ransomware-as-a-Service“-Modellen genutzt. Experten bringen den Treiber mit dem Toolkit GentleKiller in Verbindung.
Angriffe wie durch den PoisonX-Treiber zeigen, wie gezielt Hacker heute Sicherheitslücken in Unternehmen ausnutzen. In diesem kostenlosen E-Book erfahren Sie, wie Sie aktuelle Bedrohungen abwenden und Ihre IT-Sicherheit ohne hohe Investitionen langfristig stärken. IT-Sicherheit stärken und Unternehmen proaktiv schützen
Microsoft schließt kritische Zero-Day-Lücke
Parallel zu den Ransomware-Berichten veröffentlichte Microsoft am 9. Juli einen Sicherheitspatch für die Schwachstelle „RoguePlanet“ (CVE-2026-50656). Die Lücke in der Windows Malware Protection Engine erlaubte Angreifern, ihre Berechtigungen auf System-Niveau zu erhöhen.
Ein erster Patch im Juni erwies sich als unzureichend. Die aktuelle Korrektur soll das Problem nun endgültig beheben. Sicherheitsforscher warnen jedoch vor möglichen Speicherproblemen auf Festplatten, wenn manipulierte Dateien über das Netzwerk verarbeitet werden.
GigaWiper: Zerstörerische Backdoor im Anmarsch
Microsoft warnt zudem vor der hochentwickelten Backdoor GigaWiper. Die in Golang geschriebene Schadsoftware wurde erstmals im Oktober 2025 beobachtet und kombiniert Spionage mit zerstörerischen Elementen.
GigaWiper verfügt über drei Methoden zur Datenvernichtung: Überschreiben von Festplatten, Löschen von Partitionen und die mehrstufige Löschroutine „FlockWiper“. Eine Komponente für vorgetäuschte Ransomware-Angriffe verschlüsselt Dateien, ohne einen Entschlüsselungscode zu speichern. Die Daten sind damit unwiederbringlich verloren.
Ob zerstörerische Backdoors oder neue KI-gestützte Cyberrisiken – Unternehmer müssen die aktuellen rechtlichen Pflichten und Bedrohungen genau kennen. Dieser kostenlose Report klärt auf, welche Maßnahmen jetzt notwendig sind, um Sicherheitslücken effektiv zu schließen. Gratis-E-Book: Neue Cyberrisiken und gesetzliche Anforderungen
Die Backdoor, auch bekannt als BLUERABBIT, wird einer Gruppe mit Verbindungen zum Iran zugeschrieben. Sie zielt vornehmlich auf Organisationen in Israel ab. Zur Tarnung nutzt die Software einen geplanten Task namens „OneDrive Update“.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
