Các hoạt động ransomware tinh vi đang khai thác phần mềm giám sát nhân viên hợp pháp Kickidler, chuyển đổi nó từ một công cụ giám sát nơi làm việc thành một nền tảng gián điệp mạnh mẽ để xâm nhập vào mạng sâu và chứng nhận hành vi trộm cắp.
Lạm dụng này cho phép những kẻ tấn công theo dõi một cách tỉ mỉ hoạt động của người dùng, bắt giữ phím keystrokes, ghi lại các hành động màn hình và cuối cùng thu hoạch thông tin nhạy cảm quan trọng để leo thang các cuộc tấn công của họ, đặc biệt là chống lại môi trường VMware ESXI có giá trị. Các phát hiện, được chứng thực bởi nhiều cửa hàng tin tức bảo mật vào đầu tháng 5 năm 2025, nhấn mạnh một xu hướng nguy hiểm trong đó các công cụ nội bộ đáng tin cậy bị lật đổ để bỏ qua các biện pháp bảo mật. (SEO) ngộ độc. Những kẻ tấn công tạo ra các trang web độc hại, chẳng hạn như trang web tải xuống rvtools giả và quảng bá chúng trong kết quả công cụ tìm kiếm. Trình cài đặt độc hại này sau đó thường triển khai hun khói PowerShell.NET Backdoor , sau đó cài đặt Kickidler. Phương pháp này đặc biệt quỷ quyệt vì nó tận dụng các đặc quyền cao thường được liên kết với các tài khoản quản trị viên. Varonis giải thích rằng phần mềm cho phép những kẻ tấn công vượt qua các hệ thống phòng thủ như xác thực hệ thống sao lưu tách rời:
Kick Kickidler giải quyết vấn đề này bằng cách bắt giữ các phím kế và các trang web từ máy trạm của Quản trị viên.
Khả năng này đạt được mà không cần dùng đến các phương pháp dễ phát hiện hơn như bán phá giá bộ nhớ. Mục tiêu cuối cùng thường là mã hóa cơ sở hạ tầng quan trọng, dẫn đến sự gián đoạn hoạt động rộng rãi và nhu cầu tài chính đáng kể.
Những kẻ tấn công khai thác các công cụ hợp pháp để truy cập mạng sâu
Cơ học chi tiết của các cuộc tấn công này, như đã nêu bởi psexec . Trong một số trường hợp, những kẻ tấn công đã triển khai Kitty , một ngã ba của máy khách SSH Putty Cơ chế kiên trì hoặc chỉ huy và kiểm soát (C2), phần mềm giám sát và quản lý từ xa (RMM) như AnyDesk cũng đã được quan sát. Dữ liệu exfiltration là một bước quan trọng trước khi mã hóa; Trong nghiên cứu trường hợp varonis, những kẻ tấn công đã sử dụng winscp để đánh cắp gần như một terabyte dữ liệu. Các tính năng hợp pháp của Kickidler, được sử dụng bởi hơn 5.000 tổ chức theo
Điều khoản và điều kiện Cố gắng từ chối trách nhiệm pháp lý đối với các vi phạm bảo mật Internet đó. A Bảy lớp an ninh mạng