Software de monitoreo laboral popular es vulnerado para realizar ataques de ransomware.
Grupos de ransomware están aprovechando Kickidler para llevar a cabo sus ataques.
Investigadores de seguridad han alertado sobre un uso indebido del software Kickidler, una herramienta legítima de monitoreo de empleados, que ha sido utilizada en ataques de ransomware. Originalmente, esta aplicación está diseñada para que las empresas monitoreen la productividad de sus empleados, cumplan con normativas y detecten amenazas internas. Algunas de sus funciones más destacadas incluyen la visualización en tiempo real de pantallas, el registro de pulsaciones de teclas y el seguimiento del tiempo, características que han atraído la atención de los ciberdelincuentes.
Según expertos de Varonis y Synacktiv, quienes han observado estos ataques en acción, el proceso se inicia con un anuncio manipulado adquirido en la red de Google Ads. Este anuncio es mostrado a personas que buscan RVTools, una utilidad gratuita basada en Windows que se conecta a VMware vCenter o servidores ESXi. A través de este anuncio, se redirige a una versión troyanizada del programa que instala una puerta trasera denominada SMOKEDHAM.
Una vez que los atacantes han obtenido acceso a través de esta puerta trasera, despliegan Kickidler, focalizándose en administradores de empresas y en las credenciales de inicio de sesión que utilizan a diario. El objetivo es infiltrarse en toda la red para, finalmente, implementar el cifrador.
Las dos agrupaciones que han sido identificadas utilizando Kickidler son Qilin y Hunters International, quienes parecen tener en la mira soluciones de respaldo en la nube, aunque han encontrado ciertos obstáculos, según Varonis. Este último advierte que, debido al aumento en el enfoque de los atacantes hacia las soluciones de respaldo en los últimos años, las defensas están desacoplando la autenticación de los sistemas de respaldo de los dominios de Windows. Esta medida impide el acceso a copias de seguridad, incluso si los atacantes logran obtener credenciales de alto nivel de Windows.
Kickidler contribuye a este problema al capturar las pulsaciones de teclas y las páginas web desde la estación de trabajo de un administrador, lo que permite a los atacantes identificar las copias de seguridad en la nube y obtener las contraseñas necesarias para acceder a ellas, todo ello sin utilizar tácticas de alto riesgo que podrían ser detectadas.
Los investigadores también señalaron que las cargas útiles están dirigidas a la infraestructura de VMware ESXi, cifrando los discos duros virtuales VMDK. Hunters International ha utilizado VMware PowerCLI y automatización de WinSCP para habilitar SSH, introducir el ransomware y ejecutarlo en los servidores ESXi.
