{"id":298047,"date":"2025-05-29T20:39:22","date_gmt":"2025-05-29T19:39:22","guid":{"rendered":"https:\/\/www.jibble.io\/news\/time-tracking-ransomware"},"modified":"2025-07-18T07:34:08","modified_gmt":"2025-07-18T06:34:08","slug":"zeiterfassung-ransomware","status":"publish","type":"news","link":"https:\/\/www.jibble.io\/de\/news\/zeiterfassung-ransomware","title":{"rendered":"Ransomware-Angriff durch Zeiterfassungssoftware Kickidler"},"content":{"rendered":"

Hacker nutzen das Zeiterfassungs-Tool<\/a> Kickidler f\u00fcr Mitarbeiter, um Firmen auszuspionieren und Ransomware-Operationen zu unterst\u00fctzen, wie BleepingComputer am 8. Mai 2025 berichtet.<\/p>\n

 <\/p>\n

Die Angreifer nutzten gef\u00e4lschte Google-Anzeigen, um einen Trojaner<\/a> zu verbreiten, der heimlich eine Backdoor-Cyberbedrohung installiert. Sobald sie drin waren, setzten die Hacker das Tool Kickidler ein, um Tastatureingaben zu protokollieren und Bildschirme aufzuzeichnen, wodurch die Produktivit\u00e4tssoftware zu einer M\u00f6glichkeit f\u00fcr Datendiebstahl wurde.<\/p>\n

 <\/p>\n

Wie wurde aus einem Zeiterfassungs-Tool eine Cyberwaffe?<\/span><\/h2>\n

 <\/p>\n

Kickidler wird in der Regel zur \u00dcberwachung der Aktivit\u00e4ten von Mitarbeitern eingesetzt. Das Tool bietet die Funktionen Bildschirmaufzeichnung, Protokollierung der Mitarbeiteraktivit\u00e4ten und Tastenanschlags\u00fcberwachung, um Unternehmen dabei zu unterst\u00fctzen, eine bessere Transparenz sowie eine erh\u00f6hte Produktivit\u00e4t sicherzustellen.<\/p>\n

 <\/p>\n

Wenn das Tool jedoch heimlich von Kriminellen installiert wird, k\u00f6nnen dieselben Funktionen f\u00fcr Unternehmensspionage und den Diebstahl von Zugangsdaten genutzt werden.<\/p>\n

 <\/p>\n

Der erste Sicherheitsversto\u00df erfolgt, wenn IT-Administratoren bei der Suche nach RVTools, einem kostenlosen Tool zur \u00dcberpr\u00fcfung von VMware-Umgebungen, auf betr\u00fcgerische Werbeanzeigen klicken. Der Download, der auf einer gef\u00e4lschten Website gehostet wird, installiert eine PowerShell-basierte Backdoor namens SMOKEDHAM.<\/p>\n

 <\/p>\n

Diese Backdoor erm\u00f6glicht es Angreifern, unbemerkt sch\u00e4dliche Software zu installieren, die Aktivit\u00e4ten der Mitarbeiter zu beobachten und Anmeldedaten zu sammeln.<\/p>\n

 <\/p>\n

Sobald die Angreifer gen\u00fcgend Informationen gesammelt haben, bewegen sie sich lateral durch das Netzwerk, um virtuelle Infrastrukturen, insbesondere VMware ESXi-Server, anzugreifen.<\/p>\n

 <\/p>\n

Diese Server hosten mehrere virtuelle Maschinen und sind daher ein bevorzugtes Ziel f\u00fcr Ransomware. Die Angreifer verwenden Tools wie VMware, PowerCLI und WinSCP, um SSH zu aktivieren, Ransomware-Skripte hochzuladen und VMDK-Dateien (virtuelle Festplatten) zu verschl\u00fcsseln, wodurch der Betrieb lahmgelegt und vertrauliche Daten gestohlen werden.<\/p>\n

 <\/p>\n

Wer steckt hinter den Angriffen?<\/span><\/h2>\n

 <\/p>\n

Zwei Ransomware-Banden, Qilin und Hunters International, stehen mit diesen Kampagnen in Verbindung. Beide sind daf\u00fcr bekannt, dass sie raffinierte Infiltrationsmethoden einsetzen und mittlerweile auf den Missbrauch legitimer Tools umgestiegen sind, um die Wahrscheinlichkeit einer Entdeckung zu verringern.<\/p>\n

 <\/p>\n

Diese Methode, die oft als \u201eLiving off the Land<\/a>\u201c bezeichnet wird, erm\u00f6glicht es Angreifern, vertrauensw\u00fcrdige Softwarel\u00f6sungen gegen Unternehmen einzusetzen, dabei Standard-Antivirenwarnungen zu umgehen und weniger Verdachtsmomente zu wecken.<\/p>\n

 <\/p>\n

Sicherheitsexperten warnen davor, dass wahrscheinlich weitere Ransomware-Betreiber diese Taktik \u00fcbernehmen werden.<\/p>\n

 <\/p>\n

Das sollten Arbeitgeber tun, um sich zu sch\u00fctzen<\/span><\/h2>\n

 <\/p>\n

Dieser Angriff zeigt, wie wichtig es ist, einen besseren \u00dcberblick \u00fcber die vertrauensw\u00fcrdigen Tools zu haben, die auf den Ger\u00e4ten im Unternehmen installiert sind. Kickidler war nicht als b\u00f6sartige Software gedacht, aber nach der feindlichen \u00dcbernahme der L\u00f6sung war der Unterschied zu Spyware kaum noch zu erkennen.<\/p>\n

 <\/p>\n

Um \u00e4hnliche Angriffe zu verhindern, sollten Unternehmen Folgendes tun:<\/p>\n

 <\/p>\n