Afgelopen maand zag cyberbeveiligingsbedrijf Barracuda meer pogingen om gekraakte software op bedrijfsapparaten te installeren. Omdat 80 procent van zulke software schadelijke code bevat en updates onmogelijk zijn, vormt dat een groot gevaar voor bedrijven.
Medewerkers die gebruik maken van illegale software vormen zo onbewust een toegangspoort voor aanvallers schrijft het bedrijf in een blogpost. Piraatsoftware is illegaal en vaak aangepast om licentie- of kopieerbeveiligingen te omzeilen. Beide varianten vormen een zakelijk risico. Alle gedetecteerde gevallen werden door de SOC (Security Operations Center) van het bedrijf geneutraliseerd voordat de software zich daadwerkelijk volledig liet installeren.
Activate.exe als alarmbel
Barracuda’s eigen analyse laat zien dat 87 procent van de via e-mail afgeleverde uitvoerbare bestanden kwaadaardig is. De SOC detecteerde de afgelopen periode herhaaldelijk drie specifieke bestandsnamen: activate.exe, activate.x86.exe en activate.x64.exe. Die namen zijn bewust generiek gekozen om legitiem over te komen. In de meeste gevallen dient zo’n bestand niet om legitieme software te installeren, maar fungeert het als een vermomming.
Zo kan er ‘achter de schermen’ malware worden geïnstalleerd, maar er kunnen ook droppers worden geplaatst. Die maken de weg weer vrij voor andere virussen. Tot slot kunnen er verborgen payloads worden geladen, die pas later kwaadaardige acties uitvoeren. De x86- en x64-varianten zorgen voor compatibiliteit met verschillende Windows-systemen.
De bestanden werden onder andere aangetroffen in de downloads-map, kort nadat browseractiviteit was geregistreerd via Chrome of Edge. Ze werden handmatig gestart via explorer.exe en dat is een kenmerkend patroon voor illegale software. Legitieme softwareleveranciers distribueren hun producten en activeringstools nooit via torrents, wachtwoordbeveiligde ZIP-bestanden of bestandssharingplatforms.
Uitgeputte CISO is groot cybersecurityrisico
Aanbevolen aanpak bij detectie
Barracuda adviseert om bij het aantreffen van zulke software het geïnstalleerde programma te verwijderen samen met de bijbehorende crack-, keygen- en extractiemappen. Daarna volgt een volledige malwarescan. Gekraakte software bevat namelijk regelmatig bijgeleverde infostealers. die nog meer kwaad kunnen doen.
Is antivirus of EDR aangeslagen, zijn systeembestanden vervangen of heeft de gebruiker beveiligingscontroles uitgeschakeld? Dan is het volledig opnieuw installeren van het apparaat de enige goede optie. Voor preventie adviseert Barracuda het beperken van lokale beheerdersrechten, het implementeren van applicatiebeheer en het monitoren op uitvoerbare bestanden in mappen zoals downloads en tijdelijke bestanden.