Les opérations de ransomware utilisent un logiciel de surveillance des employés Kickidler légitime pour la reconnaissance, le suivi de l’activité de leurs victimes et la récolte des informations d’identification après avoir violé leurs réseaux.
Lors des attaques observées par les sociétés de cybersécurité Varonis et Synacktiv, Qilin et les affiliés de Hunters International ransomware ont installé Kickidler, un outil de surveillance des employés capable de capturer des frappes au clavier, de prendre des captures d’écran et de créer des vidéos de l’écran.
Le développeur de Kickidler affirme que l’outil est utilisé par plus de 5 000 organisations de 60 pays et fournit des fonctionnalités de surveillance visuelle et de prévention des pertes de données.
Les attaques ont commencé lorsque les auteurs de la menace ont retiré les annonces Google affichées lorsque les internautes recherchaient RVTools, un utilitaire Windows gratuit permettant de gérer les déploiements VMware vSphere. En cliquant sur la publicité, vous accédez à un faux site RVTools (rv-tool[.] net), faisant la promotion d’une version de programme cheval de Troie.
Le programme est un chargeur de logiciels malveillants qui télécharge et exécute la porte dérobée SMOKEDHAM PowerShell. NET, qui a été utilisée pour déployer Kickidler sur l’appareil.
Alors que ces attaques ciblaient les administrateurs d’entreprise, dont les comptes fournissaient généralement aux auteurs de la menace des informations d’identification privilégiées après avoir été compromis, Varonis pense qu’ils ont peut-être maintenu l’accès aux systèmes des victimes pendant des jours, voire des semaines, pour collecter les informations d’identification nécessaires pour accéder aux sauvegardes hors site dans le cloud sans être détectés.
« Compte tenu du ciblage accru des solutions de sauvegarde par les attaquants ces dernières années, les défenseurs découplent l’authentification du système de sauvegarde des domaines Windows. Cette mesure empêche les attaquants d’accéder aux sauvegardes même s’ils obtiennent des informations d’identification Windows de haut niveau », a déclaré Varonis à Breachtrace.
« Kickidler résout ce problème en capturant les frappes au clavier et les pages Web à partir du poste de travail d’un administrateur. Cela permet aux attaquants d’identifier les sauvegardes cloud hors site et d’obtenir les mots de passe nécessaires pour y accéder. Cela se fait sans vider la mémoire ou d’autres tactiques à haut risque qui sont plus susceptibles d’être détectées. »
Dans les deux cas, après avoir repris les activités malveillantes sur les réseaux piratés, les opérateurs de ransomware ont déployé des charges utiles qui ciblaient l’infrastructure VMware ESXi des victimes, chiffrant les disques durs virtuels VMDK et provoquant des perturbations généralisées.
Le script de déploiement utilisé par Hunters International a tiré parti de l’automatisation VMware PowerCLI et WinSCP pour activer le service SSH, déployer le ransomware et l’exécuter sur des serveurs ESXi, a déclaré Synacktiv.
Logiciel RMM légitime abusé lors d’attaques
Bien que le logiciel de surveillance des employés ne soit pas l’outil incontournable pour les gangs de ransomwares, ils abusent des logiciels légitimes de surveillance et de gestion à distance (RMM) depuis des années.
Comme l’ont averti CISA, la NSA et MS-ISAC dans un avis conjoint de janvier 2023, les attaquants faisant partie de nombreuses opérations de ransomware incitent les victimes à installer des solutions de bureau à distance portables pour contourner les contrôles logiciels et prendre le contrôle de leurs systèmes sans nécessiter de privilèges d’administrateur.
Depuis la mi-octobre 2022, la CISA a également découvert des activités malveillantes au sein des réseaux de plusieurs agences de l’exécutif civil fédéral (FCEB) liées à ce type d’attaque.
Récemment, des attaquants ont été vus ciblant des clients RMM SimpleHelp vulnérables pour créer des comptes d’administrateur, installer des portes dérobées et potentiellement préparer le terrain pour des attaques de ransomware Akira.
Pour se défendre contre d’éventuelles failles de sécurité, il est conseillé aux défenseurs du réseau d’auditer les outils d’accès à distance installés et d’identifier les logiciels RMM autorisés.
Il est également recommandé d’utiliser des contrôles d’application pour empêcher l’exécution de logiciels RMM non autorisés et pour imposer l’utilisation uniquement d’outils de bureau à distance autorisés, ainsi que de solutions d’accès à distance approuvées telles que VPN ou VDI.
De plus, les équipes de sécurité doivent bloquer les connexions entrantes et sortantes sur les ports et protocoles RMM standard si elles ne sont pas utilisées.