Kickidler: Rizična Upotreba u Ransomware Napadima
Kickidler, popularan alat za praćenje zaposlenika, postao je meta u ransomware napadima, upozoravaju višestruki istraživači sigurnosti. Ovaj softver je prvotno dizajniran za korištenje u poslovanju kako bi se nadgledala produktivnost zaposlenika, osigurala usklađenost s pravilima i detektirali unutarnji prijetnji. Međutim, njegove ključne funkcije, kao što su prikazivanje ekrana u stvarnom vremenu, evidentiranje pritisaka tipki i praćenje vremena, privlače pažnju cyber kriminalaca.
Kako Ransomware Napadi Počinju
Istraživači iz Varonis i Synacktiv, koji su svjedočili ovim napadima, kažu da sve počinje s zaraženim oglasom kupljenim na Google Ads mreži. Ovaj oglas se prikazuje korisnicima koji traže RVTools, besplatnu Windows aplikaciju koja se povezuje s VMware vCenter ili ESXi hostovima. Klikom na oglas, korisnici preuzimaju trojanskog konja koji instalira backdoor pod nazivom SMOKEDHAM.
Kako Cyber Kriminalci Koriste Kickidler
Uz pomoć backdoora, prijetnje se infiltriraju u sustave koristeći Kickidler, a ciljaju posebno administratore poduzeća i njihove svakodnevne prijavne podatke. Ovaj proces omogućava napadačima pristup svim dijelovima mreže, što eventualno vodi do implementacije enkripcije.
Grupe koje koriste Kickidler
Dvije grupe koje su primijećene u ovoj vrsti napada su Qilin i Hunters International, fokusirajući se na cloud backup rješenja. Međutim, Varonis ističe da su te grupe naišle na prepreku. “S obzirom na povećano usmjerenje napadača na rješenja za backup u posljednjih nekoliko godina, obrambeni stručnjaci odvajaju autentifikaciju sustava za backup od Windows domena. Ova mjera sprječava napadače da pristupe backupovima čak i ako dobiju visoke Windows vjerodajnice,” rekao je Varonis za BleepingComputer.
Kako Kickidler Omogućuje Pristup Cloud Backupovima
Kickidler se koristi za bilježenje pritisaka tipki i web stranica s radne stanice administratora, što napadačima omogućava da prepoznaju off-site cloud backupove i dobiju potrebne lozinke za pristup njima. Istraživači su dodali da su ciljevi napada obuhvaćali VMware ESXi infrastrukturu, šifrirajući VMDK virtualne tvrde diskove. Grupa Hunters International koristila je VMware PowerCLI i WinSCP automatizaciju za omogućavanje SSH, postavljanje ransomwarea i njegovu aktivaciju na ESXi poslužiteljima.
Zaključak
Kickidler, prvotno koristan alat za praćenje radne učinkovitosti, sada predstavlja ozbiljnu prijetnju u cyber sigurnosti. Organizacije moraju poduzeti dodatne mjere zaštite kako bi se osigurale od neovlaštenog pristupa i potencijalno destruktivnih ransomware napada. Praćenje i zaštita kritičnih informacija vitalni su za održavanje sigurnosti u digitalnom dobu.
