Kickidler использовали для ransmoware-атак: что мы делаем, чтобы предотвратить такие ситуации в будущем

Весной этого года несколько злоумышленников использовали Kickidler для того, чтобы получить учётные данные пользователей и впоследствии использовать их для вымогательства. Мы проанализировали ситуацию и сделали всё для того, чтобы снизить вероятность таких инцидентов в будущем до минимума.

Что именно произошло

В мае 2025 года две группы хакеров – Qilin и Hunters International – совершили массовую атаку на системных администраторов, использующих RVTools (это утилита Windows, которая используется для развёртывания VMware vSphere). Атака была устроена следующим образом:

1. С помощью рекламы Google Ads злоумышленники перенаправляли пользователей на поддельный сайт RVTools, с которого те скачивали версию программы со вшитым в неё трояном.
2. Вирус скрытно загружал и устанавливал на устройство Kickidler.
3. С помощью логгера клавиш и снимков экрана, которые умеет делать Kickidler, хакеры получали учётные данные администраторов.
4. Впоследствии злоумышленники получили доступ к инфраструктуре VMware ESXi своих жертв и зашифровали их виртуальные жёсткие диски, вызвав массовые сбои.
5. За дешифровку данных хакеры требовали выкуп.

Это один из наиболее распространённых подходов к осуществлению ransomware-атак, который, к сожалению, остаётся достаточно эффективным.

Роль Kickidler во взломе

Сам по себе Kickidler в этой схеме не является вредоносной программой: фактический взлом произошёл на моменте, когда жертва скачала троянизированную версию RVTools и запустила её. Однако функционал нашего ПО сделал его удобным выбором для непосредственного сбора данных:

1. Троян устанавливал лицензионную версию Kickidler – с точки зрения антивируса, это вполне легитимное действие, на которое защита не реагировала.
2. Kickidler изначально предполагает возможность скрытного мониторинга: это важно в ситуациях, когда работодатель не уверен в честности своих сотрудников.

Отметим, что хакеры в целом часто используют в своих целях различные инструменты для удалённого мониторинга и управления. Kickidler в этом плане привлёк их внимание именно из-за своих продвинутых возможностей и простого развёртывания.

Что мы сделали для того, чтобы предотвратить такие инциденты в будущем

Хотя основным фактором уязвимости остаётся социальный инжиниринг (люди переходят по подменным ссылкам, скачивают непроверенные файлы и т.д.), мы со своей стороны делаем всё возможное, чтобы обезопасить ваши данные:

1. Теперь компании, заинтересованные в развёртывании собственного сервера Kickidler, будут подвергаться более жёсткой проверке со стороны наших специалистов: доступ к "коробочной" версии нашей системы получат только подтверждённые юрлица.
2. Мы работаем над тем, чтобы в будущем отказаться от бесплатной версии Kickidler: к сожалению, этот продукт не позволяет должным образом контролировать своё использование. Отказ от позволит исключить возможность анонимной скрытой установки.
3. Также мы дополнительно сфокусировались на усилении безопасности нашего ПО: внедряем MFA, проводим регулярные реск-аудиты, тесно сотрудничаем с SOC-командами клиентов.

Всем клиентам мы рекомендуем как можно скорее обновить Kickidler до последней версии. Также мы просим вас ознакомиться с новым процессом регистрации корпоративных клиентов и продвинутыми возможностями защиты данных, которые мы предлагаем.

Рекомендации по защите от ransomware-атак

Большая часть всех взломов – это прежде всего атаки, направленные на человека, а не на техническую часть. Злоумышленники активно используют фишинговые письма, поддельные сайты, троянизированные версии популярных программ: они делают всё для того, чтобы ввести вас и ваших сотрудников в заблуждение, заставив запустить заражённое ПО. Мы рекомендуем вам:

1. Тщательно проверять любые ссылки и дистрибутивы ПО.
2. Провести для сотрудников обучение по противодействию фишингу и другим популярным типам хакерских атак.
3. Отслеживать активность запущенных скриптов, установщиков и других программ (например, в вышеописанном кейсе с Qilin и Hunters International установку Kickidler можно было заметить в логах системы).
4. Использовать специализированные приложения, предотвращающие запуск не включённых в белый список вашей компании инструментов удалённого контроля и мониторинга.
5. Блокировать исходящие и входящие соединения по стандартным для таких программ портам и протоколам.

Мы со своей стороны всегда готовы предоставить вам исчерпывающие консультации по обеспечению безопасности в компании, в том числе и по противодействию подобным атакам с помощью самого Kickidler. Пишите, эксперты нашей команды поддержки будут рады вам помочь!