De Qilin-ransomwaregroep gebruikt het Windows Subsystem for Linux (WSL) om Linux-ransomware op Windowscomputers te draaien, meldt antivirusbedrijf Trend Micro. Vorige week analyseerde het bedrijf een aanval waarbij Linux-ransomware werd ingezet in een Windowsomgeving. Aanvankelijk was onduidelijk hoe het Linux-bestand werd uitgevoerd, maar Trend Micro verduidelijkte later dat dit via WSL gebeurde. Met WSL kunnen Linux-programma's direct op Windows draaien zonder een virtual machine. De aanvallers hebben WSL op de doelwitten geactiveerd of zelf geïnstalleerd om Linux-malware te kunnen gebruiken. Dit bemoeilijkt detectie.

De aanpak combineert legitieme remote management tools met WSL om crossplatform malware te verspreiden en traditionele Windows-beveiligingen te omzeilen. Deze methode is opmerkelijk omdat veel detectiesystemen niet zijn ingesteld om Linux-bestanden via WSL te monitoren, vooral als legitieme tools worden gebruikt, aldus de onderzoekers. De aanvallers gebruiken drie methoden om toegang te krijgen: spear phishing, gestolen of brute-force verkregen inloggegevens, en fake captcha's die gebruikers misleiden om een commando uit te voeren dat malware installeert. Na toegang kopiëren ze de Linux-ransomware met WinSCP naar het systeem en gebruiken Splashtop om het binnen WSL uit te voeren. Trend Micro meldt dat de Qilin-groep dit jaar al 700 organisaties in 62 landen heeft aangevallen, waaronder de Friese afvalverwerker Omrin.