Die zunehmende Digitalisierung in Unternehmen bringt zahlreiche Vorteile, gleichzeitig aber auch erhebliche Sicherheitsrisiken mit sich. Eines der alarmierenden Beispiele ist der Missbrauch von legitimer Software für böswillige Zwecke. Besonders erschreckend ist der jüngst beobachtete Einsatz der Mitarbeiterüberwachungssoftware Kickidler durch Ransomware-Gruppen, um sensible Daten zu stehlen und Netzwerke auszuspionieren. Diese Entwicklung wirft wichtige Fragen zu den bestehenden Sicherheitsmaßnahmen und der Verwendung vertrauenswürdiger Anwendungen auf. Kickidler ist eine Softwarelösung, die von über 5.
000 Organisationen aus rund 60 Ländern verwendet wird. Sie dient der visuellen Überwachung, der Erfassung von Tastenanschlägen, der Anfertigung von Screenshots und erstellt sogar Videoaufzeichnungen des Bildschirmgeschehens. Ursprünglich ist Kickidler als Produkt für die Leistungsüberwachung und den Datenschutz der Mitarbeiter konzipiert worden und bietet Betrieben wichtige Einsichten zur Steigerung der Effizienz und zur Prävention von Datenverlust. Diese leistungsstarken Funktionen machen die Software aber auch attraktiv für Cyberkriminelle. Sicherheitsforscher von Unternehmen wie Varonis und Synacktiv haben detaillierte Angriffsszenarien dokumentiert, bei denen die sogenannten Qilin- und Hunters International-Ransomware-Gruppen Kickidler als Spionagetool innerhalb kompromittierter Netzwerke einsetzten.
Durch die Installation der Software konnten die Angreifer umfassende Einblicke in die Aktivitäten der Administratoren und Schlüsselmitarbeiter gewinnen, ohne sofort entdeckt zu werden. Der Beginn dieser Angriffe ist oft äußerst raffiniert. So manipulierten die Angreifer beispielsweise Google Ads mit dem Suchbegriff „RVTools“, einer beliebten kostenfreien Verwaltungssoftware für VMware vSphere. Auf diese Weise wurden potenzielle Opfer auf eine gefälschte Website mit dem Namen rv-tool[.]net gelockt, wo eine manipulierte Version des Tools zum Download angeboten wurde.
Dabei handelt es sich in Wirklichkeit um einen sogenannten Malware-Loader, der die Hintertür SMOKEDHAM – eine PowerShell .NET-basierte Schadsoftware – auf den Geräten installiert. Mit diesem Backdoor-Zugang ausführten die Angreifer anschließend die Installation von Kickidler auf den Zielsystemen. Die Software wurde verwendet, um die Handlungen der Anwender und vor allem die Administrationsaktivitäten genauestens zu überwachen. Besonders wichtig für die Täter waren die dabei gewonnenen Zugangsdaten.
So konnten die Kriminellen an die Anmeldedaten für Cloud-Backup-Lösungen gelangen, welche für die tägliche Datensicherung in Unternehmen essenziell sind. Das Ziel hinter diesem Vorgehen ist klar: Indem die Täter die Backup-Systeme kompromittieren, können sie die Wiederherstellung der Daten nach einer Ransomware-Infektion verhindern und dadurch den Druck auf das Opfer erhöhen, das Lösegeld zu zahlen. Varonis betont, dass durch die Nutzung von Kickidler „geringere Risiken“ eingegangen werden, da das Tool die Eingaben und Webseiten der Administratoren auswertet, ohne dass die Angreifer auf auffällige Techniken wie das Auslesen des Arbeitsspeichers zurückgreifen müssen, die schneller entdeckt werden könnten. Im Anschluss an die Datensammlung starteten die Ransomware-Gruppen ihre eigentlichen Angriffe auf die VMware ESXi-Infrastruktur der Opfer. Dabei verschlüsselten sie die VMDK-virtuellen Festplatten, was zu einer weitreichenden Störung der IT-Systeme führte und die Arbeit in den betroffenen Firmen zum Erliegen brachte.
Die Täter setzten für die Verbreitung und Ausführung der Schadsoftware automatisierte Skripte ein, welche beispielsweise auf VMware PowerCLI und WinSCP Automation basierten, um den SSH-Dienst zu aktivieren und die Ransomware direkt auf den Host-Systemen auszuführen. Der Missbrauch von legitimen Remote Monitoring- und Management-Tools (RMM) ist kein neues Phänomen. Schon seit Jahren nutzen kriminelle Akteure diese vertrauenswürdigen Anwendungen, um sich Zugang zu Netzwerken zu verschaffen und Sicherheitskontrollen zu umgehen. Im Januar 2023 haben unter anderem die CISA, NSA und MS-ISAC in einer gemeinsamen Warnung darauf hingewiesen, dass Angreifer portable Remote-Desktop-Lösungen einsetzen, um ohne Administratorrechte Zugriff auf Systeme zu bekommen. Ähnliche Vorgehensweisen beobachtete man bei Angriffen auf Bundesbehörden in den USA.
Neben Kickidler gerieten auch andere RMM-Lösungen ins Visier der Cyberkriminellen. Zum Beispiel wurden im Zusammenhang mit den Akira-Ransomware-Angriffen Schwachstellen in SimpleHelp RMM ausgenutzt, um Administratorzugänge anzulegen und Hintertüren zu installieren. Dies zeigt die bereits bekannte Schwäche vieler Unternehmen darin, ihre Remote-Management-Werkzeuge angemessen zu steuern und abzusichern. Um solchen Bedrohungen wirksam entgegenzuwirken, sollten Unternehmen regelmäßige Audits ihrer installierten RMM-Software und Remote-Access-Tools durchführen. Dabei gilt es, nur autorisierte Anwendungen zuzulassen und den Betrieb unautorisierter Tools durch Anwendungskontrollen zu verhindern.
Ebenso ist die Einschränkung von Netzwerkverbindungen auf bekannte und notwendige Ports und Protokolle ein wichtiger Baustein, um Angriffe über Remote-Lösungen zu erschweren. Interessanterweise führt die Erkenntnis über den Missbrauch von Überwachungssoftware wie Kickidler auch zu einer grundlegenden Diskussion über die Balance zwischen Sicherheit, Mitarbeiterüberwachung und Datenschutz. Unternehmen müssen einerseits sicherstellen, dass sie Netzwerke und Daten bestmöglich schützen, andererseits dürfen sie nicht unreflektiert Tools einsetzen, die selbst zum Einfallstor für Cyberkriminelle werden können. Technische Maßnahmen wie die Entkopplung der Backup-Authentifizierung vom Windows-Domänen-System sind Beispiele dafür, wie Verfechter der Cybersicherheit versuchen, Angriffe auf Datensicherungen zu verhindern. In Kombination mit einer durchdachten Verwaltung der Zugriffsrechte sowie der Nutzung von Multi-Faktor-Authentifizierung können Unternehmen ihre IT-Infrastruktur besser gegen komplexe Ransomware-Angriffe absichern.
