Popüler bir çalışan izleme aracı olan Kickidler, fidye yazılımı saldırılarında kötüye kullanılıyor. Yayımlanan haberlere göre, Varonis ve Synacktiv gibi siber güvenlik araştırmacıları, Qilin ve Hunters International gibi fidye yazılımı gruplarının bu yazılımı kullanarak kurumsal ağlarda casusluk yaptığını, kimlik bilgilerini topladığını ve kötü amaçlı yazılımlar dağıttığını bildirdi. Saldırılar, Google Ads üzerinden yayılan sahte bir RVTools indirme sitesiyle başlıyor ve VMware ESXi altyapısını hedef alarak ciddi kesintilere yol açıyor.
Saldırının Mekanizması
Saldırılar, şu adımlarla gerçekleşiyor:
- Sahte Google Reklamları: Saldırganlar, VMware vCenter veya ESXi sunucularını yönetmek için kullanılan ücretsiz bir Windows aracı olan RVTools’u arayan kullanıcıları hedefleyen Google Ads reklamları satın alıyor. Bu reklamlar, kullanıcıları rv-tool[.]net gibi sahte bir siteye yönlendiriyor.
- Truva Atı Yükleyici: Sahte siteden indirilen RVTools sürümü, SMOKEDHAM adlı bir PowerShell .NET arka kapısını yükleyen bir truva atı içeriyor.
- Kickidler’in Kötüye Kullanımı: Arka kapı, Kickidler yazılımını kurumsal ağlara kuruyor. Kickidler, gerçek zamanlı ekran izleme, tuş vuruşu kaydetme ve zaman takibi gibi özellikleriyle biliniyor. Saldırganlar, özellikle kurumsal yöneticilerin kimlik bilgilerini toplamak için bu özellikleri kullanıyor.
- Fidye Yazılımı Dağıtımı: Toplanan kimlik bilgileriyle, saldırganlar VMware ESXi sunucularına erişiyor ve VMDK sanal sabit disklerini şifreleyen fidye yazılımı dağıtıyor. Hunters International, bu süreçte VMware PowerCLI ve WinSCP Automation’ı kullanarak SSH’yi etkinleştiriyor ve fidye yazılımını çalıştırıyor.
Araştırmacılar, saldırganların ağlarda günler, hatta haftalar boyunca fark edilmeden kalabildiğini ve bulut yedeklerine erişmek için kimlik bilgileri topladığını belirtiyor. Kickidler’in tuş vuruşlarını ve web sayfalarını kaydetme yeteneği, saldırganların hassas verilere ve yedek sistemlere erişmesini sağlıyor, bu da geleneksel tespit yöntemlerini atlatmalarına olanak tanıyor.
Kickidler ve Özellikleri
Kickidler, 60’tan fazla ülkede 5.000’den fazla kuruluş tarafından kullanılan meşru bir çalışan izleme yazılımı. Yazılım, iş verimliliğini artırmak, uyumluluğu sağlamak ve iç tehditleri tespit etmek için tasarlandı. Ancak, ekran görüntüleri alma, videolar oluşturma ve tuş vuruşlarını kaydetme gibi özellikleri, siber suçlular için cazip bir araç haline getiriyor. Kickidler’in geliştiricileri, yazılımın kötüye kullanımına dair henüz bir yorum yapmadı.
Hedefler ve Etkiler
Saldırılar, özellikle VMware ESXi altyapısını kullanan kurumsal yöneticileri hedefliyor. Bu yöneticilerin hesapları, genellikle yüksek ayrıcalıklı kimlik bilgileri içeriyor ve ağ genelinde geniş erişim sağlıyor. Şifrelenen sanal diskler, kurumsal operasyonlarda ciddi aksamalara yol açıyor ve kurtarma süreçleri maliyetli hale geliyor. Varonis, bu saldırıların, fidye yazılımı çetelerinin meşru araçları kötüye kullanarak tespit edilmekten kaçınma stratejisinin bir parçası olduğunu belirtiyor.
Daha Geniş Bağlam
Kickidler’in kötüye kullanımı, fidye yazılımı gruplarının meşru uzak izleme ve yönetim (RMM) araçlarını hedef aldığı daha geniş bir trendin parçası. Örneğin, 2023’te CISA, NSA ve MS-ISAC, fidye yazılımı çetelerinin taşınabilir uzak masaüstü çözümlerini kötüye kullanarak sistemlere eriştiğine dair bir uyarı yayımladı. Benzer şekilde, 2024’te Kaspersky’nin TDSSKiller aracı, RansomHub tarafından uç nokta tespit ve yanıt (EDR) araçlarını devre dışı bırakmak için kullanıldı.
Bu olay, çalışan izleme yazılımlarının güvenlik risklerini de vurguluyor. Nisan 2025’te WorkComposer adlı başka bir izleme yazılımı, 21 milyon ekran görüntüsünü sızdırarak gizlilik ihlallerine yol açtı. Bu tür araçlar, hassas verilere erişim sağlayabildiği için siber suçlular için değerli bir hedef haline geliyor.
Korunma Önerileri
Araştırmacılar ve yetkililer, bu tür saldırılara karşı şu önlemleri öneriyor:
- Yetkili Yazılımların Denetimi: Ağlarda yalnızca onaylı RMM ve izleme araçlarının kullanılması, yetkisiz yazılımların çalıştırılmasını engellemek için uygulama kontrolleri uygulanmalı.
- Bağlantı Kısıtlamaları: Standart RMM portları ve protokolleri, kullanılmıyorsa engellenmeli; VPN veya VDI gibi güvenli uzak erişim çözümleri tercih edilmeli.
- Güçlü Yedekleme: Değiştirilemez (immutable) yedekleme depolama birimleri, fidye yazılımı saldırılarına karşı en iyi koruma sağlıyor. Ancak, birçok işletme bu tür sistemlere sahip değil.
- Kimlik Avı Eğitimi: Çalışanlar, sahte reklamlar ve indirme siteleri gibi sosyal mühendislik tehditlerine karşı eğitilmeli.
- Güncel Yama Yönetimi: VMware ESXi gibi altyapı bileşenleri, bilinen güvenlik açıklarına karşı düzenli olarak güncellenmeli.
Sonuç
Kickidler’in fidye yazılımı saldırılarında kötüye kullanılması, meşru yazılımların siber suçlular tarafından nasıl silah haline getirilebileceğini gösteriyor. Qilin ve Hunters International gibi gruplar, Google Ads ve sahte indirme siteleri aracılığıyla kurumsal ağlara sızarak VMware ESXi altyapısını hedefliyor ve ciddi operasyonel aksamalara yol açıyor. İşletmelerin, yetkili yazılımları denetlemesi, güçlü yedekleme sistemleri kullanması ve çalışanlarını sosyal mühendislik tehditlerine karşı eğitmesi kritik önem taşıyor. Bu olay, siber güvenlikte proaktif önlemlerin ve meşru araçların kötüye kullanımına karşı farkındalığın gerekliliğini bir kez daha ortaya koyuyor.
Kaynak: TechRadar (2025).
