Ransomware-Angriff durch Zeiterfassungssoftware Kickidler

Foto von Jefferson Santos auf Unsplash
Von: Jennifer Blair

Hacker nutzen das Zeiterfassungs-Tool Kickidler für Mitarbeiter, um Firmen auszuspionieren und Ransomware-Operationen zu unterstützen, wie BleepingComputer am 8. Mai 2025 berichtet.

 

Die Angreifer nutzten gefälschte Google-Anzeigen, um einen Trojaner zu verbreiten, der heimlich eine Backdoor-Cyberbedrohung installiert. Sobald sie drin waren, setzten die Hacker das Tool Kickidler ein, um Tastatureingaben zu protokollieren und Bildschirme aufzuzeichnen, wodurch die Produktivitätssoftware zu einer Möglichkeit für Datendiebstahl wurde.

 

Wie wurde aus einem Zeiterfassungs-Tool eine Cyberwaffe?

 

Kickidler wird in der Regel zur Überwachung der Aktivitäten von Mitarbeitern eingesetzt. Das Tool bietet die Funktionen Bildschirmaufzeichnung, Protokollierung der Mitarbeiteraktivitäten und Tastenanschlagsüberwachung, um Unternehmen dabei zu unterstützen, eine bessere Transparenz sowie eine erhöhte Produktivität sicherzustellen.

 

Wenn das Tool jedoch heimlich von Kriminellen installiert wird, können dieselben Funktionen für Unternehmensspionage und den Diebstahl von Zugangsdaten genutzt werden.

 

Der erste Sicherheitsverstoß erfolgt, wenn IT-Administratoren bei der Suche nach RVTools, einem kostenlosen Tool zur Überprüfung von VMware-Umgebungen, auf betrügerische Werbeanzeigen klicken. Der Download, der auf einer gefälschten Website gehostet wird, installiert eine PowerShell-basierte Backdoor namens SMOKEDHAM.

 

Diese Backdoor ermöglicht es Angreifern, unbemerkt schädliche Software zu installieren, die Aktivitäten der Mitarbeiter zu beobachten und Anmeldedaten zu sammeln.

 

Sobald die Angreifer genügend Informationen gesammelt haben, bewegen sie sich lateral durch das Netzwerk, um virtuelle Infrastrukturen, insbesondere VMware ESXi-Server, anzugreifen.

 

Diese Server hosten mehrere virtuelle Maschinen und sind daher ein bevorzugtes Ziel für Ransomware. Die Angreifer verwenden Tools wie VMware, PowerCLI und WinSCP, um SSH zu aktivieren, Ransomware-Skripte hochzuladen und VMDK-Dateien (virtuelle Festplatten) zu verschlüsseln, wodurch der Betrieb lahmgelegt und vertrauliche Daten gestohlen werden.

 

Wer steckt hinter den Angriffen?

 

Zwei Ransomware-Banden, Qilin und Hunters International, stehen mit diesen Kampagnen in Verbindung. Beide sind dafür bekannt, dass sie raffinierte Infiltrationsmethoden einsetzen und mittlerweile auf den Missbrauch legitimer Tools umgestiegen sind, um die Wahrscheinlichkeit einer Entdeckung zu verringern.

 

Diese Methode, die oft als „Living off the Land“ bezeichnet wird, ermöglicht es Angreifern, vertrauenswürdige Softwarelösungen gegen Unternehmen einzusetzen, dabei Standard-Antivirenwarnungen zu umgehen und weniger Verdachtsmomente zu wecken.

 

Sicherheitsexperten warnen davor, dass wahrscheinlich weitere Ransomware-Betreiber diese Taktik übernehmen werden.

 

Das sollten Arbeitgeber tun, um sich zu schützen

 

Dieser Angriff zeigt, wie wichtig es ist, einen besseren Überblick über die vertrauenswürdigen Tools zu haben, die auf den Geräten im Unternehmen installiert sind. Kickidler war nicht als bösartige Software gedacht, aber nach der feindlichen Übernahme der Lösung war der Unterschied zu Spyware kaum noch zu erkennen.

 

Um ähnliche Angriffe zu verhindern, sollten Unternehmen Folgendes tun:

 

  • Überprüfen und Beschränken der Installation von Software: IT-Teams sollten regelmäßig die Software auf allen Geräten überprüfen und die Installation auf autorisierte Benutzer beschränken.
  • Blockieren nicht autorisierte RMM- und Überwachungstools: Anwendungskontroll-Einstellungen sollten verhindern, dass nicht genehmigte Tools wie Kickidler ohne Vorwarnung installiert werden können.
  • Schulen von Mitarbeitern, um Phishing und Malvertising zu erkennen: Malvertising ist eine wachsende Bedrohung. Mitarbeiter müssen geschult werden, Download-Links zu überprüfen und Quellen von Drittanbietern zu vermeiden.
  • Überwachen des Verhaltens, nicht nur Malware-Signaturen: Tools zur Verhaltensanalyse können ungewöhnliche Tastenanschläge oder Bildschirmaufnahmen erkennen, selbst wenn sie von vertrauenswürdigen Softwarelösungen stammen.
  • Segmentieren von virtuellen und Backup-Systemen: Durch die Beschränkung des Zugriffs zwischen regulären Endpunkten und kritischer Infrastruktur können laterale Bewegungen nach einer Sicherheitsverletzung gestoppt werden.

 

Erkenntnisse

 

Der Ransomware-Angriff auf die Zeiterfassungssoftware Kickidler ist ein Beispiel dafür, wie vertrauenswürdige Tools am Arbeitsplatz missbraucht werden können. Da Software-Ökosysteme immer komplexer werden, müssen IT- und Sicherheitsteams jedes Tool, egal wie nützlich es ist, genau unter die Lupe nehmen.

 

Softwarelösungen zur Arbeits- und Anwesenheitszeiterfassung müssen sorgfältig ausgewählt und regelmäßig überprüft werden. Wenn ein Tool, das eigentlich die Produktivität steigern soll, dazu benutzt wird, sie zu zerstören, wird deutlich, dass digitales Vertrauen erarbeitet, verdient und geschützt werden muss.

 

Verwandte Artikel:

So revolutioniert die KI die Mitarbeiterüberwachung

Die Vor- und Nachteile der Mitarbeiterüberwachung

Wege, um die Screenshot-Überwachung zu umgehen

10 Gründe, deine Zeiterfassungssoftware selbst zu hosten

So führst du eine Zeiterfassungssoftware ein

Alle anzeigen