Operacionet e sofistikuara të ransomware po shfrytëzojnë softuerin e ligjshëm të monitorimit të punonjësve Kickidler, duke e shndërruar atë nga një mjet i mbikëqyrjes në vendin e punës në një platformë të fuqishme spiunazhi për infiltrimin e thellë të rrjetit dhe vjedhjet e kredencialeve.
Ky abuzim lejon sulmuesit të ndjekin me përpikëri aktivitetin e përdoruesit, të kapin tastet, të regjistrojnë veprimet e ekranit dhe të korrnin përfundimisht informacione të ndjeshme kritike për përshkallëzimin e sulmeve të tyre, veçanërisht kundër mjediseve të vlefshme të VMware ESXI. Gjetjet, të vërtetuara nga media të shumta të sigurisë në fillim të majit të vitit 2025, nënvizojnë një prirje të rrezikshme, ku mjetet e brendshme të besuara janë përmbysur për të anashkaluar masat e sigurisë. (SEO) Helmimi. Sulmuesit krijojnë faqe interneti me qëllim të keq, të tilla si faqja e rreme e shkarkimit të rvtools, dhe i promovojnë ato në rezultatet e motorit të kërkimit. Ky instalues me qëllim të keq në mënyrë tipike vendos në mënyrë tipike Smokedham PowerShell. NET Backdoor , i cili më pas instalon Kickidler. Kjo metodë është veçanërisht e fshehtë pasi përdor privilegjet e larta që shpesh shoqërohen me llogaritë e administratorit.
Vlera strategjike e Kickidler për këta aktorë të kërcënimit është e rëndësishme. Varonis explained that the software enables attackers to overcome defenses like decoupled backup system authentication:
“Kickidler addresses this issue by capturing keystrokes and web pages from an administrator’s workstation. This enables attackers to identify off-site cloud backups and obtain the necessary passwords to access them. This is done without dumping memory or other high-risk tactics that are more likely to be zbuluar.”
Kjo aftësi arrihet pa përdorur metoda më të lehta të zbulueshme si hedhja e kujtesës. Objektivi përfundimtar është shpesh kriptimi i infrastrukturës kritike, duke çuar në prishje të gjerë operacionale dhe kërkesa të konsiderueshme financiare.
Attackers Exploit Legitimate Tools for Deep Network Access
The detailed mechanics of these attacks, as outlined by Varonis Threat Labs reveal a patient and qasja metodike. Pasi Smokedham Backdoor të sigurojë një themel fillestar, sulmuesit ekzekutojnë komanda të zbulimit (si `whoami`,` SystemInfo`, `nslookup`) dhe ixfiltrojnë këto të dhëna në një shembull të kontrolluar nga sulmuesi AWS EC2. Isshtë në këtë fazë që Kickidler, shpesh i maskuar nën një emër si”Grabber.exe”, është vendosur. Varonis teorizon se një periudhë e mëvonshme e pasivitetit, ndonjëherë që zgjat disa ditë, ka të ngjarë të kushtohet korrje të gjera kredenciale përmes aftësive të monitorimit të Kickidlerit. href=”https://learn.microsoft.com/en-us/sysinternals/downloads/psexec”target=”_ bosh”> psexec . Në disa raste, sulmuesit kanë vendosur kitty , një pirun i klientit të stukut të stukut, për të vendosur tunele të kundërta të rdp-it mbi SSH në SSH në infrastrukturën e tyre EC2, duke maskuar shpesh këtë trafik të keq 443 deri në Pjesë të kundërta të zjarrit. Mekanizmi shtesë i këmbënguljes ose komandës dhe kontrollit (C2), softuer i monitorimit në distancë dhe menaxhimit (RMM) si AnyDesk është vërejtur gjithashtu. Exfiltrimi i të dhënave është një hap kryesor para kriptimit; Në studimin e rastit Varonis, sulmuesit përdorën winscp Për të vjedhur gati një terabyte të të dhënave. Karakteristikat e ligjshme të Kickidler, të përdorura nga mbi 5,000 organizata sipas zhvilluesi i tij , janë të përdredhur për reconnaissance. href=”https://www.synacktiv.com/en/publications/case-study-how-hunters-international-and-friends-target-your-hypervisors” target=”_blank”>Synacktiv’s research, notably published earlier on March 5, 2025, provided an in-depth look at a Hunters International ransomware operation employing these very Tactics, Techniques, dhe procedurat (TTP). Hunters International, i cili u shfaq rreth tetorit 2023 pasi raportohet se fitoi pasuri nga Grupi i Ransomware i çmontuar Hive, u vëzhgua duke përdorur një instalues të trojanizuar të RVTools për të dhënë Backdoor Smokedham. Synacktiv e lidhi Smokedham me Kushtet dhe kushtet Përpjekja për të mohuar përgjegjësinë për shkelje të tilla të sigurisë në internet. A Shtatë shtresa të sigurisë cyber , nga elementi njerëzor përmes infrastrukturës kritike të të dhënave.
