Ransomware-Operationen
Ransomware-Operationen nutzen die legitime Mitarbeiter-Überwachungssoftware-Kickidler und verwandeln sie von einem Arbeitsplatz-Aufsichtstool in eine potente Spionage-Plattform für Deep-Network-Infiltration und Anmeldeinformationen.
Mit diesem Missbrauch können Angreifer die Benutzeraktivität sorgfältig verfolgen, Tastenanschläge erfassen, Bildschirmaktionen aufzeichnen und sensible Informationen ernten, die für die Eskalation ihrer Angriffe entscheidend sind, insbesondere gegen wertvolle VMware-ESXI-Umgebungen. Die Ergebnisse, die Anfang Mai 2025 durch mehrere Sicherheitsnachrichten bestätigt wurden, unterstrichen einen gefährlichen Trend, bei dem vertrauenswürdige interne Tools untergraben werden, um Sicherheitsmaßnahmen zu umgehen. (SEO) Vergiftung. Angreifer erstellen böswillige Websites wie die gefälschte RVTools-Download-Site und bewerben sie in Suchmaschinenergebnissen. In diesem böswilligen Installateur werden in der Regel das Smokedham Powershell.Net Backdoor bereitgestellt, die anschließend Kickidler installiert. Diese Methode ist besonders heimtückisch, da sie die hohen Privilegien nutzt, die häufig mit Administratorkonten verbunden sind.
Der strategische Wert von Kickidler für diese Bedrohungsakteure ist erheblich. Varonis erklärte, dass die Software Angreifer es ermöglicht, Abwehrkräfte wie entkoppeltes Backup-Systemauthentifizierung zu überwinden:
„Kickidler adressiert dieses Problem, indem er Tastenanschläge und Webseiten aus dem Workstation eines Administrators erfasst. Dies ermöglicht es den Angreifern, Angreifer zu identifizieren, und die erforderlichen Passwörter, die auf die erforderlichen Passwassungen greifen, ohne auf den Weg zu gehen. erkannt.”
Diese Fähigkeit wird erreicht, ohne auf leichter nachweisbare Methoden wie Speichermagelung zurückzugreifen. Das ultimative Ziel ist häufig die Verschlüsselung kritischer Infrastruktur, was zu weit verbreiteten operativen Störungen und erheblichen finanziellen Anforderungen führt.
Angreifer nutzen legitime Tools für den tiefen Netzwerkzugriff
Die detaillierten Mechanik dieser Angriffe, wie von psexec . In einigen Fällen haben Angreifer kitty , eine Gabel des Putty SSH-Clients, bereitgestellt, um umgekehrte RDP-Tunnel über SSH-Infrastruktur zu richten. Es wurde ebenfalls eine Persistenz-oder Befehl-und-Kontroll-Mechanismus (C2)-Mechanismus (Remote Monitoring and Management) wie AnyDesk beobachtet. Das Datenexfiltration ist ein Schlüsselschritt vor der Verschlüsselung. In der Varonis-Fallstudie verwendeten Angreifer winscp , um fast eine Terabyte Daten zu stehlen. Kickidlers legitime Merkmale, die von über 5.000 Organisationen nach Entwickler verwendet werden. href=”https://www.synacktiv.com/en/publications/case-study-how-hunter-international-and-friends-target-your-hypervisors”target=”_ leer”> synacktivs recherchierter Forschungen, die früher am 5. März, 2025 , mit einem Tokus, dem eingeschaltetes Aussehen mit einem T-tageren Aussehen veröffentlicht wurde, hat einen Hunter-Ransom-, der einen Hunter-Activing-Operation mit einem tempeligen Hunter-Ransomi-Operation bietet. und Verfahren (TTPS). Hunters International, das um den Oktober 2023 auftrat, nachdem er Berichten zufolge Vermögenswerte aus der abgebauten Hive-Ransomware-Gruppe erfasst hatte, wurde mit einem trojanisierten RVTools-Installateur beobachtet, um die Backdoor Smokedham zu liefern. SynackTiv verlinkte Rauchedham mit dem Unc2465-Bedrohungsschauspieler , ein Affiliate, das zuvor mit dem Lockbit und Dagbit-Operationen verbunden ist, und Dagbit und Dagside Ransomware Operations. Zu Synacktiv als”Grabber”und installiert über `grem.msi`) wurde wochenlang verwendet, um einen Administrator auszuspionieren. Synacktiv-Forscher haben die Neuheit dieses Ansatzes hervorgehoben und erklärt:”Dies ist das erste Mal, dass wir ein solches legitimes Tool sehen, das von Angreifern verwendet wird.”BleepingComputer berichtete im August 2024 über die Gruppe, die die Sharprhino-Ratte über WinSCP-Automatisierung dieses Skripts-Automatik-Automatik-Automatik-Automatik-Automatik-THE-SHSSH-DISTREGING THE STORDS STOWS-DISTRING THE STRIBLE. Hosts und dann winSCP zur Übertragung und Ausführung der Ransomware. Ein kritischer Schritt bestand darin, die Integritätsprüfungen von ESXI für ausführbare Dateien zu deaktivieren. Die Ransomware selbst, die eine terminale Benutzeroberfläche enthielt, wurde häufig für eine verzögerte Ausführung festgelegt. Ungewöhnlich hinterließ dieser spezifische ESXI-Verschlüsselor keinen Lösegeld in den betroffenen Systemen. Während die aktuellen Vorfälle von Akteuren externer Bedrohungen aktive Waffen beinhalten, wurden die inhärenten Risiken der Überwachungssoftware in einem zufälligen Leck zur Anwendung von WorkComposer hervorgehoben. WorkComposers eigene Allgemeine Geschäftsbedingungen Versuch, die Haftung für solche Internetsicherheitsverletzungen zu entlassen. A Varonis zum Beispiel betont, wie wichtig es ist, alle sieben Schichten von Cybersecurity zu kritischen Dateninfrastruktur durch das menschliche Element durch kritische Dateninfrastruktur.