Työntekijöiden valvontaohjelmisto Kickidler asetettu hienostuneisiin lunastushyökkäyksiin

hienostuneet ransomware-operaatiot hyödyntävät laillista työntekijöiden seurantaohjelmistoja, jotka muuttavat sen työpaikan valvontatyökalusta voimakkaaseen vakoilualustaan ​​syvän verkon tunkeutumisen ja valtakirjavarkauksien kanssa.

Tämän väärinkäytön avulla hyökkääjät voivat seurata huolellisesti käyttäjän toimintaa, vangita näppäimistöt, tallentaa näytön toimenpiteet ja lopulta hankkia arkaluontoisia tietoja, jotka ovat kriittisiä heidän hyökkäysten kärjistämiseksi, etenkin arvokkaita VMware ESXI-ympäristöjä vastaan. Useiden toukokuun alussa 2025 alussa varustetut useiden tietoturvauutisten outpisteiden vahvistetut havainnot korostavat vaarallista suuntausta, jossa luotettavia sisäisiä työkaluja alistetaan ohittamaan tietoturvatoimenpiteet.

väärennettyjä latauspaikkoja levittävät troijanisoituja kickidler-versioita

reittiä yrityksiä koskevalle verkkoon (SEO) Myrkytys. Hyökkääjät käsittelevät haitallisia verkkosivustoja, kuten väärennettyjä Rvtools-lataussivustoa, ja mainostavat niitä hakukoneiden tuloksissa.

Epäilyttävä järjestelmänvalvoja, joka lataa sen, mikä näyttää olevan laillinen IT-hallinta-apuohjelma, kuten RVTOOLS TROJAN-Versio. Tämä haitallinen asentaja ottaa sitten tyypillisesti Smokedham Powershell.NET Backdoor , joka myöhemmin asentaa KickiDlerin. Tämä menetelmä on erityisen salaperäinen, koska se hyödyntää järjestelmänvalvojan tileihin usein liittyviä korkeita etuoikeuksia. Varonis selitti, että ohjelmisto antaa hyökkääjille mahdollisuuden voittaa puolustukset, kuten irrotettu varmuuskopiojärjestelmän todennus:

“Kickidler käsittelee tätä ongelmaa kaappaamalla näppäinpakkaukset ja verkkosivut järjestelmänvalvojan työasemalta. Tämä antaa hyökkääjille mahdollisuuden tunnistaa ulkopuoliset pilvivarmuuskopiot ja saada tarvittavat salasanat todennäköisemmin. havaittu.”

Tämä kyky saavutetaan turvautumatta helpommin havaittavissa oleviin menetelmiin, kuten muistin polkumyyntiin. Perimmäinen tavoite on usein kriittisen infrastruktuurin salaus, mikä johtaa laajalle levinneisiin operatiivisiin häiriöihin ja merkittäviin taloudellisiin vaatimuksiin. 

hyökkääjät hyödyntävät laillisia työkaluja syvän verkkoon

näiden hyökkäysten yksityiskohtainen mekaniikka, kuten

sivuliike uhrin verkossa jatketaan käyttämällä yleisiä IT-työkaluja, kuten etätyöpöytäprotokolla (RDP) ja psexec . Joissakin tapauksissa hyökkääjät ovat ottaneet käyttöön kitty , kitti-SSH-asiakkaan haarukka, kääntämään RDP-tunnelit SSH: n yli EC2-infrastruktuuriin, usein P> P> P> P> P> P> P> P> P> P> P> P> P> P> P> P> P> P> P> P> P> P> PN-liikenteelle. Pysyvyys tai komento-ja hallinta (C2)-mekanismi, etävalvonta ja hallinta (RMM), kuten AnyDesk, on havaittu myös. Tietojen suodatus on avainvaihe ennen salausta; Varonis-tapaustutkimuksessa hyökkääjät käyttivät Winscp Varastaakseen melkein teratavut tiedot. Kickidlerin lailliset ominaisuudet, joita yli 5000 organisaatiota käyttävät kehittäjä , kierretään varkain-ohjelmiston infrastruodan

Hunters International ja kohdista. href=”https://www.synacktiv.com/en/publications/case-study-how-hunters-international-annation-and-and-driends-target-your-hypervisors”Target=”_ tyhjä”> Synacktivin tutkimus, joka on aikaisemmin julkaistu 5. maaliskuuta 2025. Menettelyt (TTPS). Hunters International, joka syntyi lokakuussa 2023 sen jälkeen, kun hän on ilmoittanut hankkimasta omaisuutta puretusta Hive Ransomware-ryhmästä, havaittiin troijanisoidulla RVTools-asennusohjelmalla Smokedhamin takaoven toimittamiseksi. Synacktiv linkitti Smokedhamin UNC2465-uhkiosaan , Ammatti, joka on aiemmin liittynyt lukitus-ja pimeän ransomware-operaatioihin. Synacktivin by’grabberiksi’ja asennettuna”grem.msi”: n kautta) käytettiin viikkojen ajan vakoillakseen järjestelmänvalvojaa. Synacktiv-tutkijat korostivat tämän lähestymistavan uutuutta ja totesivat:”Tämä on ensimmäinen kerta, kun näemme tällaisen laillisen työkalun, jota hyökkääjät käyttävät.”BleepingComputer raportoi elokuussa 2024 ryhmässä, joka leviää Sharprhino-rottalla TYPOSquatting-sivustot the Typotenting Sations WinSCP Automation Rust-pohjaisen esxi-encryptorin. Isännät ja sitten WinSCP: n käyttäminen lunnausohjelman siirtämiseen ja suorittamiseen. Kriittinen vaihe sisälsi ESXI: n eheystarkastusten poistamisen suoritettavien tiedostojen varalta. Itse ransomware, jossa oli päätelaitteen käyttöliittymä, asetettiin usein viivästyneelle suoritukselle.

Se pysäyttäisi virtuaalikoneet, salaa tiedostonsa (kohdistamalla pidennykset, kuten.vmx,.vmdk,.vmsn) ja yrittäisi sitten korvata vapaan levyn avaruuden estääkseen palautumista. Epätavallisesti tämä erityinen ESXI-salaja ei jättänyt lunnaa huomautusta kärsineisiin järjestelmiin.

Ohjelmistojen seuranta-ja puolustusasentojen laajemmat vaarat. Vaikka nykyisiin tapauksiin sisältyy ulkoisten uhkien toimijoiden aktiivinen aseistaminen, valvontaohjelmistojen luontaiset riskit korostettiin vahingossa tapahtuvassa vuotossa, joka koski WorkComposer-sovellusta. WorkComposerin oma Ehdot Yritetään hylätä vastuu tällaisista Internet-tietoturvaloukkauksista. A yhteinen neuvonantaja CISA: sta. Kannettavan etätyöpöytäohjelmiston asentaminen

näiden kehittyvien uhkien torjumiseksi turvallisuusasiantuntijat puolustavat monilayeroituja “puolustus” lähestyessä. Tärkeimmät suositukset sisältävät kaikkien etäkäyttötyökalujen kattavat auditoinnit, tiukkojen sovellusohjausten toteuttamisen luvattomien RMM-ohjelmistojen toteuttamisen estämiseksi, vain hyväksyttyjen etäkäyttöratkaisujen (kuten VPNS tai VDI: t) valtuuttamisen täytäntöönpano, ja ennakoivan estämisen ja lähtevien operatiivisten operaatioiden ja Protocols-operatiivisten yhteyksien estäminen seitsemän kyberturvallisuuden : n merkitystä ihmisen elementin kautta kriittiseen tietoinfrastruktuuriin.