Legalne oprogramowanie, którego celem miała być kontrola wydajności i bezpieczeństwo firmowych systemów, stało się sprzymierzeńcem cyberprzestępców. Kickidler, program używany przez tysiące organizacji na całym świecie do monitorowania aktywności pracowników, trafił do grup odpowiedzialnych za groźne ataki ransomware. W ostatnich miesiącach stał się narzędziem rozpoznania i szpiegowania użytkowników w sieciach ofiar — a wszystko to jeszcze przed ostatecznym uderzeniem w infrastrukturę IT. Z ustaleń specjalistów ds. bezpieczeństwa z firm Varonis i Synacktiv wynika, że grupy takie jak Qilin oraz Hunters International wykorzystywały Kickidler nie w jego pierwotnym celu, lecz jako zaawansowany środek infiltracji. Instalowali go już po uzyskaniu dostępu do firmowej sieci, co pozwalało im przechwytywać każdy ruch użytkowników — od wpisywanych haseł, po pełne zrzuty ekranu. W ten sposób budowali pełen obraz działania organizacji, jej wewnętrznych zabezpieczeń i możliwych dróg obejścia tych mechanizmów. Punktem wyjścia ataku była z pozoru niewinna reklama w wyszukiwarce Google, kierująca użytkowników do fałszywej strony oferującej RVTools — popularne narzędzie do zarządzania środowiskami VMware. Kliknięcie prowadziło do pobrania zainfekowanej wersji programu, który potajemnie instalował na komputerze ofiary backdoora SMOKEDHAM. To właśnie ten element umożliwiał późniejsze wdrożenie Kickidlera bez wiedzy użytkownika.
Zbieranie danych z myślą o chmurze i kopiach zapasowych
Choć pierwszym celem cyberprzestępców było zdobycie danych dostępowych i przyczółków wewnątrz sieci firm, ich aktywność nie kończyła się na klasycznym ataku. Grupy odpowiedzialne za kampanie wykorzystywały czas, by utrzymać się w systemie jak najdłużej — zbierając dane potrzebne do przejęcia kontroli nad kopiami zapasowymi, często przechowywanymi poza siedzibą firmy. Jak zauważyli analitycy Varonis, coraz więcej organizacji zaczyna zabezpieczać systemy backupowe poprzez oddzielenie ich uwierzytelniania od domeny Windows. To działanie, choć skuteczne, nie stanowi przeszkody dla kogoś, kto widzi każdy ruch administratora. Dzięki funkcjom oferowanym przez Kickidler, cyberprzestępcy mogli dokładnie śledzić zachowania operatorów IT, wychwytując informacje, które normalnie byłyby ukryte. Zamiast wykorzystywać metody łatwe do wykrycia, jak np. zrzuty pamięci, korzystali z możliwości „oglądania” pulpitu administratora w czasie rzeczywistym. To właśnie ta zdolność do cichego podglądu i rejestracji kluczowych danych czyniła narzędzie wyjątkowo niebezpiecznym w nieodpowiednich rękach. Gdy zebrano już wszystkie potrzebne informacje, przestępcy wdrażali kolejne komponenty ataku — w tym ransomware szyfrujące maszyny wirtualne VMware ESXi. Skrypt odpowiedzialny za ten proces pozwalał na zdalne włączenie SSH, wdrożenie złośliwego kodu i jego uruchomienie. Skutki? Sparaliżowana infrastruktura IT, zaszyfrowane dane i wymuszenia okupu.
Ostrzeżenia i reakcje branży bezpieczeństwa
Choć przypadek Kickidlera zwrócił uwagę branży na nowe sposoby wykorzystania znanych narzędzi, to w rzeczywistości nie jest to pierwszy przypadek nadużycia legalnego oprogramowania RMM (Remote Monitoring and Management). Już w 2023 roku amerykańskie agencje rządowe — CISA, NSA i MS-ISAC — ostrzegały przed rosnącą liczbą przypadków, w których hakerzy instalują legalne programy do zdalnego pulpitu, by ominąć standardowe mechanizmy kontroli i uzyskać trwały dostęp do systemów. Ostatnie miesiące przyniosły również przypadki nadużycia klientów SimpleHelp — kolejnego rozwiązania z kategorii RMM — gdzie atakujący zakładali konta administratorów i instalowali backdoory w ramach przygotowań do dalszych działań, w tym ataków z użyciem ransomware Akira.
