Eksperci Cisco Talos odkryli nowy typ cyberataków oparty na pirackich kluczach aktywacyjnych do popularnego oprogramowania
Specjaliści ds. cyberbezpieczeństwa Cisco prowadzili badania mające na celu sprawdzenie złamanych wersji systemu operacyjnego Microsoft Windows i innych aplikacji Microsoft, takich jak Office. Oba produkty korzystają z usługi zarządzania kluczami Microsoft (KMS), która zazwyczaj pozwala organizacjom aktywować systemy we własnej sieci. Cracktivatory uzupełniają tę usługę, modyfikując system w celu umożliwienia wykorzystania pirackich kluczy. Termin ten może również odnosić się do innych aplikacji, które zostały w jakiś sposób zmodyfikowane lub są „pirackie”.
Popularność oprogramowania typu Cracktivator wzrasta na całym świecie. Znacząca większość organizacji korzystających ze złamanego oprogramowania znajduje się w Europie, zwłaszcza w Europie Wschodniej, w wielu różnych branżach. Podczas operacji polowania na cyberzagrożenia przez ukraiński oddział Talos, który koncentruje się na infrastrukturze krytycznej, eksperci Cisco odkryli znaczną liczbę organizacji korzystających z tego typu nielegalnego oprogramowania.
Ponadto według danych Cisco Talos, również w Ameryce Północnej można zaobserwować różnorodność sektorów korzystających z oprogramowania Cracktivator, z największym rozpowszechnieniem w obszarze produkcji i edukacji oraz, w mniejszym stopniu, w budownictwie, usługach finansowych i handlu detalicznym. W regionie Azji i Pacyfiku, branże korzystające z oprogramowania Cracktivator należą głównie do sektora produkcyjnego i rządowego.
Wydaje się jednak, że ogólne wykorzystanie Cracktivatora w regionie Azji i Pacyfiku jest mniejsze niż w Europie i Ameryce Północnej, co stanowi zmianę trendu. W regionie Azji i Pacyfiku występowała duża liczba pirackiego oprogramowania dla przedsiębiorstw, choć eksperci Cisco nadal nie są pewni dokładnego powodu, dla którego atakujący skupiający się na tym regionie odeszli oni od crackowanego oprogramowania.
Zagrożenia bezpieczeństwa związane z korzystaniem z oprogramowania Cracktivator
Poza faktem, że używanie pirackiego oprogramowania jest nielegalne, korzystanie z niego niesie ze sobą wiele zagrożeń dla cyberbezpieczeństwa. Obejmują one brak dostępu do krytycznych aktualizacji lub poprawek oprogramowania, co może sprawić, że użytkownicy będą bardziej narażeni na ataki ukierunkowane na popularne luki w aplikacjach Windows.
Eksperci Cisco odkryli również, że inne zagrożenia, takie jak trojany zdalnego dostępu (RAT) i złośliwe oprogramowanie do wydobywania kryptowalut, są również często wykrywane w systemach z oprogramowaniem Cracktivator. Eksperci wykryli także, że atakujący dołączają tego typu zagrożenia do zmodyfikowanego oprogramowania jako metodę początkowego dostępu.
W takiej sytuacji użytkownik zazwyczaj nie jest świadomy wbudowanego złośliwego elementu podczas pobierania crackowanego oprogramowania (zazwyczaj za pośrednictwem stron z torrentami). W rzeczywistości oprogramowanie Cracktivator wygląda w większości przypadków jak prawdziwe. Dzieje się tak głównie dlatego, że cyberprzestępcy nie chcą, aby użytkownicy zauważyli jakiekolwiek nieprawidłowości, aby mogli realizować wszelkie złośliwe zamiary (na przykład zdobycie dostępu do systemów).
Dlaczego firmy korzystają z oprogramowania typu Cracktivator?
Jest to skomplikowane pytanie, ponieważ istnieje wiele powodów, dla których organizacje decydują się (lub w niektórych przypadkach przymykają oko) na korzystanie z oprogramowania Cracktivator. Słaba higiena związana z bezpieczeństwem cyfrowym to także jeden z powodów. Organizacje mogą nie mieć odpowiednich narzędzi do szkolenia w zakresie bezpieczeństwa, nie mogąc szerzyć świadomości wśród pracowników na temat zagrożeń związanych z korzystaniem z takiego oprogramowania.
Innym powodem jest to, że niektóre osoby lub działy mogą być pod presją czasu, aby dostarczyć zlecone projekty. Zakup nielegalnej licencji może pomóc przyspieszyć ukończenie tych prac lub być tańszy niż zakup rzeczywistej licencji.
Niestety, podczas gdy użytkownicy spiesząc się przygotowują w dokumencie Word np. raport dla mzarządu, w tle dzieje się zazwyczaj wiele złośliwych działań. Dlatego krótkoterminowe zyski nigdy nie są warte długoterminowego bólu.
Zalecenia ekspertów
Zalecenia ekspertów Cisco Talos dotyczące sposobów radzenia sobie z rosnącym trendem korzystania z oprogramowania Cracktivator to m.in.:
- Konieczność regularnej aktualizacji całego oprogramowania i systemów za pomocą legalnych, licencjonowanych wersji.
- Stosowanie odpowiednich rozwiązań z zakresu cyberbezpieczeństwa w celu wykrywania i łagodzenia zagrożeń, w tym instalacja rozwiązania EDR (Endpoint Detection Response).
- Regularne monitorowanie systemów wewnętrznych pod kątem wszelkich podejrzanych działań, takich jak nietypowe użycie narzędzi PowerShell i Netsh.
- Prowadzenie programów uświadamiających i szkoleniowych w zakresie cyberbezpieczeństwa w celu informowania pracowników o ryzyku związanym z pobieraniem i używaniem crackowanego oprogramowania.
- Monitorowanie i zapobieganie niepotrzebnemu i/lub nieautoryzowanemu użyciu narzędzi administracyjnych systemu, takich jak oprogramowanie zdalnego dostępu.
- Pewność co do tego, że wrażliwe systemy są odpowiednio podzielone na segmenty, aby zapobiec bocznemu ruchowi z zagrożonych maszyn.