Les opérations sophistiquées des ransomwares exploitent le kitidler logiciel de surveillance des employés légitime, le transformant d’un outil de surveillance de travail en une puissante plate-forme d’espionnage pour l’infiltration en réseau profond et les vols d’identification.
Les experts en cybersécurité ont récemment détaillé comment l’affiliaire des groupes de ransomware notoriété, notamment la QILINE et les chasseurs International, le déploiement, le déploiement de la violade.
Cet abus permet aux attaquants de suivre méticuleusement l’activité des utilisateurs, de capturer des frappes, d’enregistrer des actions d’écran et, finalement, de récolter des informations sensibles critiques pour intensifier leurs attaques, en particulier contre les précieux environnements VMware Esxi. Les résultats, corroborés par de multiples médias de sécurité au début du mois de mai 2025, soulignent une tendance dangereuse où les outils internes de confiance sont subvertis pour contourner les mesures de sécurité.
Les faux sites de téléchargement répartis des versions trojanisées de KidIdler
La voie des réseaux de recherche, les réseaux de recherche commencent souvent avec une cible tactique. (SEO) empoisonnement. Les attaquants argent les sites Web malveillants, tels que le site de téléchargement des faux Rvtools, et les promouvoir dans les résultats des moteurs de recherche.
Un administrateur sans méfiance téléchargeant ce qui semble être un utilitaire de gestion informatique légitime comme rvtools Ce programme d’installation malveillant déploie ensuite généralement le Smokedham PowerShell.NET BackDoor , qui installe par la suite KickIdler. Cette méthode est particulièrement insidieuse car elle exploite les privilèges élevés souvent associés aux comptes administrateurs.
La valeur stratégique du kidIdler pour ces acteurs de menace est importante. Varonis a expliqué que le logiciel permet aux attaquants de surmonter les défenses telles que l’authentification du système de sauvegarde découplée:
“KidIdler aborde ce problème en capturant les clés et les pages Web de l’administrateur.
Cette capacité est obtenue sans recourir à des méthodes plus facilement détectables comme le dumping de la mémoire. L’objectif ultime est souvent le chiffrement des infrastructures critiques, conduisant à une perturbation opérationnelle généralisée et à des demandes financières substantielles.
Les attaquants exploitent des outils légitimes pour l’accès profond du réseau
La mécanique détaillée de ces attaques, comme indiqué par psexec . Dans certains cas, les attaquants ont déployé Kitty , une fourche du client SSH PuTTY, pour établir des tunnels RDP inversés sur SSH à leur infrastructure EC2, en mascuant fréquemment ce trafic malveillant sur Port 443 pour échapper à la détection de base de base. La persistance ou le mécanisme de commande et de contrôle (C2), le logiciel de surveillance et de gestion à distance (RMM) comme AnyDesk a également été observé. L’exfiltration des données est une étape clé avant le chiffrement; Dans l’étude de cas de Varonis, les attaquants ont utilisé winScp pour voler presque un téraabyte de données. Les fonctionnalités légitimes de KickIdler, utilisées par plus de 5 000 organisations selon son Développeur , sont tordus pour la reconnaissance furtive. href=”https://www.synacktiv.com/en/publications/case-study-how-hunters-international-and-friends-target-your-hypervisors”Target=”_ Blank”> Synacktiv’s Research, notamment publié plus tôt sur Marche 5, 2025 et procédures (TTPS). Hunters International, qui a émergé vers octobre 2023 après avoir déclaré avoir acquis des actifs du groupe de ransomware Hive Dismanted, a été observé à l’aide d’un installateur RVTools trojanisé pour livrer la porte dérobée de Smokedham. Synacktiv a lié Smokedham au UNC2465 Actor de menace , un affilié précédemment associé à la location et aux opérations de darkside. à Synacktiv en tant que «Grabber» et installé via `grem.msi») a été utilisé pendant des semaines pour espionner un administrateur. Les chercheurs de Synacktiv ont souligné la nouveauté de cette approche, déclarant: «C’est la première fois que nous voyons un tel outil légitime utilisé par les attaquants». BleepingComputer a rapporté en août 2024 sur le groupe diffusant le rat Sharprhino via typosquatt sites . Le compromis des hyperviseurs VMware ESXi est un objectif principal pour ces attaquants. Synacktiv a détaillé l’utilisation d’un script PowerShell qui a exploité VMware PowerCli et WinSCP Automation Pour déployer un ESXi Encryptor basé sur Rush, Auto Ssh sur le service d’Esx sur le SCRIG hôtes, puis utiliser winSCP pour transférer et exécuter le ransomware. Une étape critique impliquait de désactiver l’intégrité d’Esxi vérifie les fichiers exécutables. Le ransomware lui-même, qui comportait une interface utilisateur terminale, était souvent défini pour une exécution retardée.
, il arrêterait des machines virtuelles, crypter leurs fichiers (ciblant des extensions comme.vmx,.vmdk,.vmsn), puis tenter d’écraser l’espace disque gratuit pour gêner la récupération. Inhabituellement, cet ESXi Encryptor spécifique n’a pas laissé de note de rançon sur les systèmes affectés.
Les périls plus larges des logiciels de surveillance et des postures défensives
l’exploitation malveillante de KickIdler se produit par rapport à une toile de fond de préoccupations plus larges concernant les techniques de surveillance de travail. Bien que les incidents actuels impliquent une arme active par des acteurs de menaces externes, les risques inhérents à un logiciel de surveillance ont été mis en évidence dans une fuite accidentelle concernant l’application WorkComposer.
Ce cas impliquait l’exposition accidentelle de plus de 21 millions d’écrans des employés en raison d’un godet Amazon S3 mal sécurisé. L’emplacement de Workcomposer Termes et conditions Essayez de décliner la responsabilité de la responsabilité de ces violations de sécurité Internet.
L’abus des outils de surveillance à distance et de gestion (RMM) est un menace persistant par les autorités cybersécurité. A Advisory conjoint de la CISA, des victimes de la NSA et de la MS-Isac en janvier 2023 Installation du logiciel de bureau à distance portable.
Pour lutter contre ces menaces en évolution, les experts en sécurité plaident pour un multi-couches “Defense in Deater” approche. Les recommandations clés incluent des audits complets de tous les outils d’accès à distance, la mise en œuvre de contrôles d’applications stricts pour empêcher l’exécution des solutions d’accès à distance non autorisées, l’application des politiques ne mandant que
Varonis, par exemple, souligne l’importance de sécuriser tous les Sept couches de cybersecurity , de l’élément humain à l’infrastructure de données critiques.
