Siti di download falsi che si diffondono con le versioni di amministrazione di disturbo di disturbo di discesa che si ammettess (SEO) Avvelenamento. Gli aggressori creano siti Web dannosi, come il sito di download di RvTools falsi, e li promuovono nei risultati del motore di ricerca.
Un amministratore ignaro che scarica quella che sembra essere un’utilità di gestione IT legittima come rvtools a Trojanized versize. Questo installatore dannoso quindi in genere distribuisce Smokedham PowerShell.NET Backdoor , che successivamente installa Kickidler. Questo metodo è particolarmente insidioso in quanto sfrutta gli alti privilegi spesso associati ai conti dell’amministratore.
Il valore strategico di Kickidler per questi attori delle minacce è significativo. Varonis ha spiegato che il software consente agli aggressori di superare le difese come l’autenticazione del sistema di backup disaccoppiato:
“Kickidler affronta questo problema catturando i tasti e le pagine Web da una stazione di lavoro di un amministratore.
Questa capacità si ottiene senza ricorrere a metodi più facilmente rilevabili come il dumping della memoria. L’obiettivo finale è spesso la crittografia di infrastrutture critiche, che porta a interruzioni operative diffuse e richieste finanziarie sostanziali.
Gli aggressori sfruttano gli strumenti legittimi per un profondo accesso alla rete
La meccanica dettagliata di questi attacchi, come indicato da psexec . In alcuni casi, gli aggressori hanno distribuito kitty , una forcella del cliente SSH stuttuy, per stabilire un tunnel RDP inversa su SSH su SSH EC2 a un altro numero di evani per evadere per evadere. È stato anche osservato il software di persistenza o comando e controllo (C2), software di monitoraggio e gestione remoto (RMM) come AnyDesk. L’esfiltrazione dei dati è un passaggio chiave prima della crittografia; Nel caso di studio Varonis, gli aggressori hanno usato winscp per rubare quasi un terabyte di dati. Le caratteristiche legittime di Kickidler, utilizzate da oltre 5.000 organizzazioni secondo il suo sviluppatore href=”https://www.synacktiv.com/en/publications/case-study-how-hunters-international-and-friends-target-your-hypervisors” target=”_blank”>Synacktiv’s research, notably published earlier on March 5, 2025, provided an in-depth look at a Hunters International ransomware operation employing these very Tactics, Tecniche e procedure (TTP). Hunters International, che è emerso intorno all’ottobre 2023 dopo aver riferito di aver acquisito beni dal gruppo di ransomware Hive Smondled, è stato osservato utilizzando un installatore di RVTOOLS trojanizzato per consegnare il backdoor Smokedham. Sinacktiv collegato a fumato a unc2465 ACTORE MINATURA (di cui al SynackTIV come”Grabber”e installato tramite `Grem.msi`) è stato usato per settimane per spiare un amministratore. I ricercatori di SynackTIV hanno messo in evidenza la novità di questo approccio, affermando:”Questa è la prima volta che vediamo un tale strumento legittimo impiegato dagli aggressori”. BleepingComputer, riportato nell’agosto 2024 sul gruppo che diffonde il ratto Sharprhino tramite Il compromesso di VMware ESXI Hypervisor è un obiettivo primario per questi aggressori. SynackTIV ha descritto in dettaglio l’uso di uno script PowerShell che ha sfruttato VMware Powercli e winscp automazione per distribuire un encrytorptor ESXi basato su Rust. Host e quindi utilizzare WinSCP per trasferire ed eseguire il ransomware. Un passaggio critico ha comportato la disabilitazione dei controlli di integrità di ESXI per i file eseguibili. Il ransomware stesso, che presentava un’interfaccia utente del terminale, è stato spesso impostato per l’esecuzione ritardata.
Smetterebbe le macchine virtuali, crittografa i loro file (targeting estensioni come.vmx,.vmdk,.vmsn) e quindi tentare di sovraccaricare lo spazio per la dischi per ostacolare il recupero. Insolitamente, questo specifico crittografico ESXI non ha lasciato una nota di riscatto sui sistemi interessati.
I pericoli più ampi del software di monitoraggio e delle posture difensive
Lo sfruttamento dannoso di Kickidler si verifica su uno sfondo delle preoccupazioni per le tecnologie di sorveillazione sul lavoro. Mentre gli attuali incidenti coinvolgono l’arma attiva da parte di attori delle minacce esterne, i rischi intrinseci del software di monitoraggio sono stati evidenziati in una perdita accidentale riguardante l’applicazione di compositore di lavoro.
Tale caso ha comportato un’esposizione accidentale di oltre 21 milioni di schermate per i dipendenti a causa di una detenzione per gli strumenti per i dipendenti. WorkCompeser’s Own Termini e condizioni Tentativo di declinare la responsabilità per tali violazioni della sicurezza Internet. A consulenza congiunta da CISA, NSA e MS-ISAC IN GENNAI software desktop remoto portatile.
Per combattere queste minacce in evoluzione, gli esperti di sicurezza sostengono un multi-strato “difesa in profondità” Varonis, ad esempio, sottolinea l’importanza di proteggere tutto Sette livelli di cybersecurity , dall’elemento umano fino all’infrastruttura di dati critici.