Operações de ransomware estão utilizando o software legítimo de monitoramento de funcionários Kickidler para reconhecimento, acompanhamento da atividade de suas vítimas e coleta de credenciais após violarem suas redes.
Em ataques observados pelas empresas de cibersegurança Varonis e Synacktiv, afiliadas dos ransomwares Qilin e Hunters International instalaram o Kickidler, uma ferramenta de monitoramento de empregados que pode capturar teclas digitadas, tirar capturas de tela e criar vídeos da tela.
O desenvolvedor do Kickidler afirma que a ferramenta é usada por mais de 5.000 organizações de 60 países e oferece monitoramento visual e recursos de prevenção de perda de dados.
Os ataques começaram com os cibercriminosos lançando anúncios no Google Ads exibidos quando as pessoas procuravam por RVTools, uma utilidade gratuita do Windows para gerenciar implantações do VMware vSphere.
Clicar no anúncio levava a um site falso do RVTools (rv-tool[.]net), promovendo uma versão do programa com trojan.
O programa é um carregador de malware que baixa e executa a backdoor SMOKEDHAM do PowerShell .NET, que foi usada para implantar o Kickidler no dispositivo.
Embora esses ataques tenham como alvo administradores de empresas, cujas contas normalmente forneceriam aos cibercriminosos credenciais privilegiadas após a comprometimento, a Varonis acredita que eles possam ter mantido acesso aos sistemas das vítimas por dias e até semanas para coletar credenciais necessárias para acessar backups em nuvem fora do local sem ser detectados.
"Dada a crescente mira dos atacantes nas soluções de backup nos últimos anos, os defensores estão desacoplando a autenticação do sistema de backup dos domínios do Windows.
Esta medida impede que os atacantes acessem os backups mesmo se eles obtiverem credenciais Windows de alto nível", informou a Varonis.
O Kickidler aborda esta questão capturando as teclas digitadas e as páginas web de uma estação de trabalho do administrador.
Isso permite que os atacantes identifiquem backups em nuvem fora do local e obtenham as senhas necessárias para acessá-los.
Isso é feito sem despejar memória ou outras táticas de alto risco que têm mais chances de ser detectadas.
Nos dois casos, após retomarem atividades maliciosas nas redes violadas, os operadores de ransomware implantaram payloads que visavam a infraestrutura VMware ESXi das vítimas, criptografando drives virtuais de disco rígido VMDK e causando interrupções generalizadas.
O script de implantação usado pela Hunters International aproveitou o VMware PowerCLI e o WinSCP Automation para ativar o serviço SSH, implantar o ransomware e executá-lo nos servidores ESXi, disse a Synacktiv.
Embora o software de monitoramento de funcionários não seja a ferramenta preferencial para gangues de ransomware, eles abusam há anos de softwares legítimos de monitoramento e gerenciamento remoto (RMM).
Como a CISA, a NSA e o MS-ISAC alertaram em um comunicado conjunto em janeiro de 2023, atacantes parte de muitas operações de ransomware estão enganando vítimas para instalar soluções portáteis de desktop remoto para burlar controles de software e dominar seus sistemas sem requerer privilégios de administração.
Desde meados de outubro de 2022, a CISA também descobriu atividades maliciosas dentro das redes de várias agências executivas civis federais (FCEB) ligadas a este tipo de ataque.
Recentemente, atacantes foram vistos visando clientes vulneráveis do SimpleHelp RMM para criar contas de administrador, instalar backdoors e potencialmente preparar o cenário para ataques de ransomware Akira.
Para se defender contra possíveis violações de segurança, os defensores de rede são aconselhados a auditar as ferramentas de acesso remoto instaladas e identificar o software RMM autorizado.
É recomendado também utilizar controles de aplicativos para prevenir a execução de software RMM não autorizado e impor a utilização de apenas ferramentas de desktop remoto autorizadas, juntamente com soluções de acesso remoto aprovadas, como VPN ou VDI.
Adicionalmente, as equipes de segurança devem bloquear conexões de entrada e saída em portas e protocolos RMM padrão, se não forem utilizados.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...