Operasi ransomware yang canggih mengeksploitasi perangkat lunak pemantauan karyawan yang sah, Kickidler, mengubahnya dari alat pengawasan tempat kerja menjadi platform spionase yang kuat untuk infiltrasi jaringan yang mendalam dan pencurian kredensial.
Pakar Cybersurity baru-baru ini merinci bagaimana afiliasi kelompok-kelompok ransware yang tidak berorientasi, termasuk kickt cybersurity, dan afiliasi dari kelompok-kelompok ransware yang tidak berorientasi, termasuk qiloy, kelompok qiloy, qiloy.
Penyalahgunaan ini memungkinkan penyerang untuk dengan cermat melacak aktivitas pengguna, menangkap penekanan tombol, tindakan layar catatan, dan pada akhirnya memanen informasi sensitif yang penting untuk meningkatkan serangan mereka, terutama terhadap lingkungan ESXi VMware yang berharga. The findings, corroborated by multiple security news outlets in early May 2025, underscore a dangerous trend where trusted internal tools are subverted to bypass security measures.
Fake Download Sites Spread Trojanized Versions of Kickidler
The pathway into corporate networks often begins with a deceptive tactic targeting IT administrators: Search Engine Optimization (SEO) Keracunan. Penyerang membuat situs web jahat, seperti situs unduhan RVTools palsu, dan mempromosikannya dalam hasil mesin pencari.
Administrator yang tidak curiga yang mengunduh apa yang tampak sebagai utilitas manajemen TI yang sah seperti Smokedham PowerShell.net backdoor , yang kemudian menginstal Kickidler. Metode ini sangat berbahaya karena memanfaatkan hak istimewa tinggi yang sering dikaitkan dengan akun administrator.
Nilai strategis Kickidler untuk para aktor ancaman ini signifikan. Varonis explained that the software enables attackers to overcome defenses like decoupled backup system authentication:
“Kickidler addresses this issue by capturing keystrokes and web pages from an administrator’s workstation. This enables attackers to identify off-site cloud backups and obtain the necessary passwords to access them. This is done without dumping memory or other high-risk tactics that are more likely to be terdeteksi.”
Kemampuan ini dicapai tanpa menggunakan metode yang lebih mudah dideteksi seperti pembuangan memori. Tujuan utama sering kali merupakan enkripsi infrastruktur kritis, yang mengarah pada gangguan operasional yang luas dan tuntutan keuangan yang substansial.
penyerang mengeksploitasi alat yang sah untuk akses jaringan yang mendalam
Mekanika terperinci dari serangan ini, sebagaimana diuraikan oleh
Gerakan lateral di seluruh jaringan korban kemudian dikejar menggunakan alat TI umum seperti Protokol Desktop Jarak Jauh (RDP) dan psexec . Dalam beberapa kasus, penyerang telah mengerahkan kitty , sebuah garpu klien dempul ssh, untuk membuat reverse rdp terowongan ke atas ke atas port ke atas port 4.4. Sebagai mekanisme persistensi atau perintah-dan-kontrol (C2) tambahan, perangkat lunak pemantauan jarak jauh dan manajemen (RMM) seperti AnyDesk juga telah diamati. Eksfiltrasi data adalah langkah kunci sebelum enkripsi; Dalam studi kasus Varonis, penyerang menggunakan winscp Untuk mencuri hampir terabyte data. Fitur-fitur sah Kickidler, digunakan oleh lebih dari 5.000 organisasi menurut , twisted untuk pengurangan target. href=”https://www.synacktiv.com/en/publications/case-study-how-hunters-international-and-friends-target-your-hypervisors”target=”_ blank”> SynackTIV yang dipublikasikan sebelumnya pada 5 Maret, 2025
Akan menghentikan mesin virtual, mengenkripsi file mereka (menargetkan ekstensi seperti.VMX,.VMDK,.VMSN), dan kemudian mencoba untuk menimpa spasi ruang bebas hind. Tidak seperti biasanya, enkriptor ESXI khusus ini tidak meninggalkan catatan tebusan pada sistem yang terkena dampak.
bahaya yang lebih luas dari perangkat lunak pemantauan dan postur defensif
Eksploitasi jahat dari kickidler terjadi dengan latar belakang kekhawatiran yang lebih luas mengenai teknologi tempat kerja yang lebih buruk. Sementara insiden saat ini melibatkan persenjataan aktif oleh aktor ancaman eksternal, risiko yang melekat pada perangkat lunak pemantauan disorot dalam kebocoran yang tidak disengaja mengenai aplikasi komposer kerja.
Kasus itu melibatkan paparan yang tidak disengaja dari lebih dari 21 juta screenshot karyawan karena penanganan sutradara yang tidak benar-benar mengamankan paparan amazon S3 yang tidak tepat. Pengingat sensume yang tidak tepat. Pengingat malas tanpa pengingat dari pengingat sensitif dari sensitif yang tidak benar-benar mengamankan bucket-pengingat sensitif dari pengingat sensitif yang tidak benar. WorkComposer’s sendiri Syarat dan ketentuan Upaya untuk melepaskan tanggung jawab atas pelanggaran keamanan internet tersebut.
Penyalahgunaan CyeCureing Remote Monitoring dan Manajemen (RMM) yang dikelola oleh Penyalahgunaan Penyalahgunaan. A nasihat bersama dari Cisa, NSA, dan MS-MS-ISAC 2 JANUAR. untuk menginstal perangkat lunak desktop jarak jauh portabel.
Untuk memerangi ancaman yang berkembang ini, para ahli keamanan mengadvokasi untuk multi-lapis “DEPTH/DEPTH/DEFENSE_IN_DEPTH”Target=”_ Blank”>”DEPTH DEPTH”. Rekomendasi utama meliputi audit komprehensif dari semua alat akses jarak jauh, implementasi kontrol aplikasi yang ketat untuk mencegah pelaksanaan perangkat lunak RMM yang tidak sah, penegakan kebijakan yang hanya mewajibkan solusi akses jarak jauh yang disetujui (seperti VPN atau VDIS.
Varonis, misalnya, menekankan pentingnya mengamankan semua tujuh lapis cybersurity , dari elemen manusia hingga infrastruktur kritis.
