sofistikerade ransomware-verksamheter utnyttjar den legitima anställdas övervakningsprogramvara Kickidler, omvandlar den från ett övervakningsverktyg för arbetsplatsen till en potent spionage-plattform för djupa nätverksinfiltration och referensstöld.
cybersecurity-experter har nyligen detaljerat how affiliates of notorious ransomware grupper, inklusive Qilin och Hunters, depploktor, depositioner efter att ha kommit.
Detta missbruk gör det möjligt för angripare att noggrant spåra användaraktivitet, fånga tangenttryckningar, registrera skärmåtgärder och i slutändan skörda känslig information som är kritisk för att eskalera sina attacker, särskilt mot värdefulla VMware ESXI-miljöer. Resultaten, bekräftade av flera säkerhetsnyheter i början av maj 2025, understryker en farlig trend där pålitliga interna verktyg är subverterade för att kringgå säkerhetsåtgärder.
falska nedladdningssidor sprider trojaniserade versioner av kickidler
The Pathway in i Corporate Networks med en halsare med en decenterisk tecknare): sökning av det (PAYGOTAGE) förgiftning. Angripare skapar skadliga webbplatser, till exempel den falska RVTools-nedladdningssidan, och marknadsför dem i sökmotorresultat.
En intetanande administratör som laddar ner vad som verkar vara ett legitimt IT-hanteringsverktyg som rvtools Smokedham PowerShell.Net Backdoor , som därefter installerar Kickidler. Denna metod är särskilt lumsk eftersom den utnyttjar de höga privilegierna som ofta är förknippade med administratörskonton.
Det strategiska värdet av Kickidler för dessa hotaktörer är betydande. Varonis explained that the software enables attackers to overcome defenses like decoupled backup system authentication:
“Kickidler addresses this issue by capturing keystrokes and web pages from an administrator’s workstation. This enables attackers to identify off-site cloud backups and obtain the necessary passwords to access them. This is done without dumping memory or other high-risk tactics that are more likely to be detected.”
Denna kapacitet uppnås utan att ta till sig lättare metoder som minnesdumpning. Det ultimata målet är ofta kryptering av kritisk infrastruktur, vilket leder till utbredd operativ störning och betydande ekonomiska krav.
angripare utnyttjar legitima verktyg för djup nätverksåtkomst
Den detaljerade mekaniken för dessa attacker, som beskrivs av
lateral rörelse över offrets nätverk genomförs sedan med vanliga IT-verktyg som fjärrskrivbordsprotokoll (RDP) och psexec . In some instances, attackers have deployed KiTTY, a fork of the PuTTY SSH client, to establish reverse RDP tunnels over SSH to their EC2 infrastructure, frequently masking this malicious traffic over port 443 to evade basic firewall detection. As an additional Persistens eller kommando-och-kontroll (C2) mekanism, fjärrövervakning och hanteringsprogramvara (RMM) som AnyDesk har också observerats. Data Exfiltration är ett viktigt steg före kryptering; I varonis-fallstudien använde angriparna winscp för att stjäla nästan en terabyte av data. Kickidlers legitima funktioner, som används av över 5 000 organisationer enligt dess Utvecklare , är vridna för stealthy reconnaissance. href=”https://www.synacktiv.com/en/publications/case-study-how-hunters-international-and-friends-target-your-hypervisors” target=”_blank”>Synacktiv’s research, notably published earlier on March 5, 2025 hunters internationella och Targeting of Vmwer-in-in-in-in-aR-infektion
This script automated connecting to vCenter, enabling the SSH service on ESXI-värdar och sedan använder WINSCP för att överföra och utföra ransomware. Ett kritiskt steg involverade att inaktivera ESXI: s integritetskontroller för körbara filer. Ransomware själv, som innehöll ett terminal användargränssnitt, var ofta inställd på försenad exekvering.
Det skulle stoppa virtuella maskiner, kryptera sina filer (inriktning på tillägg som.vmx,.vmdk,.vmsn) och försök sedan att skriva över gratis skivutrymme för att hindra återhämtning. Ovanligt lämnade denna specifika ESXI-krypterare inte en lösenanmärkning på de berörda systemen.
De bredare farorna för övervakningsprogramvara och defensiva ställningar
Den skadliga exploatering av Kickidler inträffar mot en bakgrund av bredare problem med arbetsplatsen. Medan de nuvarande incidenterna involverar aktivt vapen av externa hotaktörer, framhölls de inneboende riskerna för övervakningsprogramvara i en oavsiktlig läcka avseende en felaktig Amazon S3-bockar-en remtur-en remtur-en remtor av den oavsiktliga exponeringen av över 21 miljoner medarbetare på grund av en felaktigt säkrad Amazon S3-bucket-en rem-remt-remt-remt-remt-remt-remt-remt-remt-remtor-en remtvätt utan att malera utan Mal-handtag. WorkComposer’s Own Villkor Försök att friskriva ansvar för sådana Internet Security-överträdelser. A joint advisory from CISA, the NSA, and MS-ISAC in January 2023 specifically warned about attackers deceiving victims into Installera bärbar fjärrskrivbordsprogramvara.
För att bekämpa dessa utvecklande hot förespråkar säkerhetsexperter för en multi-lagered “Defense in Depart” varonis betonar till exempel vikten av att säkra alla Sju lager av cybersecurity , från humanelementet till kritisk data infrastruktur.
