Specjaliści ds. cyberbezpieczeństwa Cisco prowadzili badania mające na celu sprawdzenie złamanych wersji systemu operacyjnego Microsoft Windows i innych aplikacji Microsoft, takich jak Office. Oba produkty korzystają z usługi zarządzania kluczami Microsoft (KMS), która zwykle pozwala organizacjom aktywować systemy we własnej sieci. Cracktivatory uzupełniają tę usługę, modyfikując system w celu umożliwienia wykorzystania pirackich kluczy. Termin ten może również odnosić się do innych aplikacji, które zostały w jakiś sposób zmodyfikowane lub są „pirackie”.
Popularność systemu typu Cracktivator wzrasta na całym świecie. Znacząca większość organizacji korzystających ze złamanego systemu znajduje się w Europie, zwłaszcza w Europie Wschodniej, w wielu różnych branżach. Podczas operacji polowania na cyberzagrożenia przez ukraiński oddział Talos, który koncentruje się na infrastrukturze krytycznej, eksperci Cisco odkryli znaczną liczbę organizacji korzystających z tego typu nielegalnego oprogramowania.
Ponadto według danych Cisco Talos, również w Ameryce Północnej można zaobserwować różnorodność sektorów korzystających z systemu Cracktivator, z największym rozpowszechnieniem w obszarze produkcji i edukacji oraz, w mniejszym stopniu, w budownictwie, usługach finansowych i handlu detalicznym. W regionie Azji i Pacyfiku, branże korzystające z systemu Cracktivator należą głównie do sektora produkcyjnego i rządowego.
Wydaje się jednak, iż ogólne wykorzystanie Cracktivatora w regionie Azji i Pacyfiku jest mniejsze niż w Europie i Ameryce Północnej, co stanowi zmianę trendu. W regionie Azji i Pacyfiku występowała duża liczba pirackiego systemu dla przedsiębiorstw, choć eksperci Cisco przez cały czas nie są pewni dokładnego powodu, dla którego atakujący skupiający się na tym regionie odeszli oni od crackowanego oprogramowania.
Zagrożenia bezpieczeństwa związane z korzystaniem z systemu Cracktivator
Poza faktem, iż używanie pirackiego systemu jest nielegalne, korzystanie z niego niesie ze sobą wiele zagrożeń dla cyberbezpieczeństwa. Obejmują one brak dostępu do krytycznych aktualizacji lub poprawek oprogramowania, co może sprawić, iż użytkownicy będą bardziej narażeni na ataki ukierunkowane na popularne luki w aplikacjach Windows.
Eksperci Cisco odkryli również, iż inne zagrożenia, takie jak trojany zdalnego dostępu (RAT) i złośliwe oprogramowanie do wydobywania kryptowalut, są również często wykrywane w systemach z oprogramowaniem Cracktivator. Eksperci wykryli także, iż atakujący dołączają tego typu zagrożenia do zmodyfikowanego systemu jako metodę początkowego dostępu.
W takiej sytuacji użytkownik zwykle nie jest świadomy wbudowanego złośliwego elementu podczas pobierania crackowanego systemu (zazwyczaj za pośrednictwem stron z torrentami). W rzeczywistości oprogramowanie Cracktivator wygląda w większości przypadków jak prawdziwe. Dzieje się tak głównie dlatego, iż cyberprzestępcy nie chcą, aby użytkownicy zauważyli jakiekolwiek nieprawidłowości, aby mogli realizować wszelkie złośliwe zamiary (na przykład zdobycie dostępu do systemów).
Dlaczego firmy korzystają z systemu typu Cracktivator?
Jest to skomplikowane pytanie, ponieważ istnieje wiele powodów, dla których organizacje decydują się (lub w niektórych przypadkach przymykają oko) na korzystanie z systemu Cracktivator. Słaba higiena związana z bezpieczeństwem cyfrowym to także jeden z powodów. Organizacje mogą nie mieć odpowiednich narzędzi do szkolenia w zakresie bezpieczeństwa, nie mogąc szerzyć świadomości wśród pracowników na temat zagrożeń związanych z korzystaniem z takiego oprogramowania.
Innym powodem jest to, iż niektóre osoby lub działy mogą być pod presją czasu, aby dostarczyć zlecone projekty. Zakup nielegalnej licencji może pomóc przyspieszyć ukończenie tych prac lub być tańszy niż zakup rzeczywistej licencji.
Niestety, podczas gdy użytkownicy spiesząc się przygotowują w dokumencie Word np. raport dla mzarządu, w tle dzieje się zwykle wiele złośliwych działań. Dlatego krótkoterminowe zyski nigdy nie są warte długoterminowego bólu.
Zalecenia ekspertów
Zalecenia ekspertów Cisco Talos dotyczące sposobów radzenia sobie z rosnącym trendem korzystania z systemu Cracktivator to m.in.:
- Konieczność regularnej aktualizacji całego systemu i systemów dzięki legalnych, licencjonowanych wersji.
- Stosowanie odpowiednich rozwiązań z zakresu cyberbezpieczeństwa w celu wykrywania i łagodzenia zagrożeń, w tym instalacja rozwiązania EDR (Endpoint Detection Response).
- Regularne monitorowanie systemów wewnętrznych pod kątem wszelkich podejrzanych działań, takich jak nietypowe użycie narzędzi PowerShell i Netsh.
- Prowadzenie programów uświadamiających i szkoleniowych w zakresie cyberbezpieczeństwa w celu informowania pracowników o ryzyku związanym z pobieraniem i używaniem crackowanego oprogramowania.
- Monitorowanie i zapobieganie niepotrzebnemu i/lub nieautoryzowanemu użyciu narzędzi administracyjnych systemu, takich jak oprogramowanie zdalnego dostępu.
- Pewność co do tego, iż wrażliwe systemy są odpowiednio podzielone na segmenty, aby zapobiec bocznemu ruchowi z zagrożonych maszyn.
IT RESELLER nr 353/2023 “Schneider Electric pomaga budować bardziej zrównoważoną przyszłość” – podkreśla w wywiadzie okładkowym Małgorzata Kasperska, wiceprezeska Schneider Electric – Secure Power Division MEE Cluster PL/CZ/SK/UA
