Criminelen maken bij het uitvoeren van ransomware-aanvallen gebruik van legitieme software waarmee bedrijven hun medewerkers monitoren. Dat stellen securitybedrijven Synacktiv en Varonis. De software van KickIdler kan toetsaanslagen opslaan, schermopnames maken, audio opnemen, de inhoud van het clipboard lezen en op afstand controle over muis en toetsenbord geven. Volgens de ontwikkelaar maken meer dan vijfduizend organisaties in zestig landen er gebruik van.

De aanvallen waarover Synacktiv en Varonis berichten begonnen toen netwerk- en systeembeheerders, als gevolg van SEO poisoning, een besmette versie van RVTools op hun systeem hadden gedownload. Dit is een VMWare-beheertool. De getrojaniseerde versie van RVTools installeerde ook een backdoor. De aanvallers gebruikten deze backdoor om KickIdler op de systemen van de systeembeheerders te installeren en zo inloggegevens te onderscheppen.

Tussen het compromitteren van het werkstation van de systeembeheerders en verdere acties zat enige tijd, varierend van dagen tot weken. olgens Varonis gebruikten de aanvallers de tijd tussen het compromitteren van de laptop en verdere acties vermoedelijk om extra inloggegevens te stelen. Uiteindelijk besloten de aanvallers zich vanaf het werkstation lateraal naar de interne servers te bewegen, data te stelen en uiteindelijk de ransomware uit te rollen. De securitybedrijven adviseren onder andere beheertools te blokkeren waar aanvallers gebruik van kunnen maken, alsmede het trainen van personeel om voorzichtig te zijn met het downloaden van software.