Os hackers estão usando backdoors para derrubar o Kickidler, uma ferramenta legítima de monitoramento de funcionários A ferramenta é usada para obter credenciais de login e implantar um criptografia Os servidores ESXi da VMWAARE estão sendo direcionados
Kickidler, um popular Monitoramento de funcionários ferramenta, está sendo abusada em Ransomware Ataques, vários pesquisadores de segurança alertaram.
O software foi projetado para empresas, permitindo que eles supervisionem a produtividade de seus funcionários, garantam a conformidade e detectassem ameaças de informações privilegiadas. Alguns de seus principais recursos são a visualização de tela em tempo real, o registro de pressionamento de teclas e o rastreamento do tempo, com os dois primeiros sendo particularmente interessantes para os cibercriminosos.
Pesquisadores de Varonis e Synacktiv, que afirmam ter visto os ataques em estado selvagem, dizem que tudo começa com um anúncio envenenado comprado na rede do Google Ads. O anúncio é exibido para pessoas que procuram RvTools, um utilitário gratuito baseado no Windows que se conecta aos hosts VMware vCenter ou ESXi. O anúncio leva a uma versão trojanizada do programa, que implanta um backdoor chamado Smokedham.
Backups da nuvem na mira
Com a ajuda dos backdoor, os atores de ameaças implantam kickidler, direcionando -se especificamente a administradores de empresas e muitas das credenciais de login que usam todos os dias. O objetivo é se infiltrar em todos os cantos da rede e, finalmente, implantar o criptografia.
Os dois grupos vistos usando o Kickidler são Qilin e Hunters International, que parecem focados em backups em nuvem, mas parecem ter atingido um obstáculo, disse Varonis.
“Dado o aumento do direcionamento de soluções de backup dos atacantes nos últimos anos, os defensores estão dissociando a autenticação do sistema de backup dos domínios do Windows. Essa medida impede que os atacantes acessem backups, mesmo que eles ganhem credenciais de alto nível do Windows”, disse Varonis à Varonis, disse Computador de explosão
“Kickidler aborda esse problema capturando teclas e páginas da Web da estação de trabalho de um administrador. Isso permite que os atacantes identifiquem backups de nuvem fora do local e obtenham as senhas necessárias para acessá-las. Isso é feito sem despejar memória ou outras táticas de alto risco que tenham mais probabilidade de serem detectadas”.
As cargas úteis vmware Esxi infraestrutura, os pesquisadores acrescentaram, criptografando discos rígidos virtuais VMDK. A Hunters International usou o VMware PowerCli e o WINSCP Automation para ativar o SSH, soltar o ransomware e executá -lo nos servidores ESXi.
Você também pode gostar
