Operações sofisticadas de ransomware estão explorando o kickidler de software de monitoramento legítimo de funcionários, transformando-o de uma ferramenta de supervisão no local de trabalho em uma plataforma potente de espionagem para infiltração de rede profunda e roubo de credenciais.
Esse abuso permite que os invasores acompanhem meticulosamente a atividade do usuário, capturem as teclas, as ações da tela de registro e, finalmente, colherão informações sensíveis ao escalar seus ataques, particularmente contra ambientes valiosos da VMware ESXi. As descobertas, corroboradas por vários meios de comunicação de segurança no início de maio de 2025, destacam uma tendência perigosa, onde as ferramentas internas confiáveis são subvertidas para ignorar as medidas de segurança. envenenamento. Os invasores criam sites maliciosos, como o site de download de rvtools falsos, e os promovem nos resultados dos mecanismos de pesquisa. Este instalador malicioso normalmente implanta o Smokedham PowerShell.Net Backdoor , que posteriormente instala o Kickidler. Esse método é particularmente insidioso, pois aproveita os altos privilégios frequentemente associados às contas do administrador.
O valor estratégico do kickidler para esses atores de ameaças é significativo. Varonis explicou que o software permite que a autenticação do sistema de backup desacoplado:
“Kickidler aborda esse problema capturando as teclas e as páginas da web das estações de trabalho de um administrador que são mais altas. detectado.”
Esse recurso é alcançado sem recorrer a métodos mais facilmente detectáveis, como dumping de memória. O objetivo final é freqüentemente a criptografia de infraestrutura crítica, levando a uma perturbação operacional generalizada e demandas financeiras substanciais.
Os invasores exploram ferramentas legítimas para acesso profundo na rede
A mecânica detalhada desses ataques, conforme descrito por psexec . Em alguns casos, os atacantes implantaram Kitty , um garfo da putty ssh cliente. Um mecanismo de persistência adicional ou comando e controle (C2), software de monitoramento e gerenciamento remoto (RMM), como o Anydesk, também foi observado. A exfiltração de dados é uma etapa-chave antes da criptografia; No estudo de caso de Varonis, os atacantes usaram winscp para roubar quase um terabyte de dados. Recursos legítimos do Kickidler, usados por mais de 5.000 organizações de acordo com seus Developer , são Twisted para Reconnoss de Recuno. href=”https://www.synacktiv.com/en/publications/case-study-how-hunters-international-and-friends-target-your-hypervisors” target=”_blank”>Synacktiv’s research, notably published earlier on March 5, 2025, provided an in-depth look at a Hunters International ransomware operation employing these very Tactics, Techniques, e procedimentos (TTPs). A Hunters International, que surgiu por volta de outubro de 2023, depois de adquirir ativos do grupo Ransomware Declorned Hive, foi observado usando um instalador de Rvtools trojanizado para entregar o Backdoor Smokedham. Synacktiv ligou Smokedham ao UNC2465 ATOR AMEATOR , um afiliado anteriormente associado a
impedia as máquinas virtuais, criptografaram seus arquivos (direcionando extensões como.vmx,.vmdk,.vmsn) e, em seguida, tentará sobrecarregar o espaço livre para recuperar a recuperação. INUNTENTAMENTE, esse criptor Esxi específico não deixou uma nota de resgate nos sistemas afetados. Enquanto os incidentes atuais envolvem armas ativas por atores de ameaças externas, os riscos inerentes ao software de monitoramento foram destacados em um vazamento acidental sobre o aplicativo WorkComposer. O próprio WorkComposer termos e condições Tente renunciar a responsabilidade por essas violações de segurança da Internet. A Avisory da CISA, o NSA, e MS-ISC em JOMON2 no JOMAN2 no JOMAN2 no JOMAN2, na DecaSA, e MSAs, na DecaSA, e MSAs, em JOMAN2. Instalando o software portátil de desktop remoto. As principais recomendações incluem auditorias abrangentes de todas as ferramentas de acesso remoto, a implementação de controles rígidos de aplicativos para impedir a execução de software RMM não autorizado, a aplicação de políticas que exigem apenas soluções de acesso remoto aprovadas (como operações exstroces) e o bloqueio proativo e o bloqueio proativo.
Varonis, por exemplo, enfatiza a importância de proteger todos sete camadas de segurança cibernética , do elemento humano até a infrastructure crítica de dados.
