Перевод: Хакеры-вымогатели теперь запускают шифровальщики на базе Linux в системах с Windows, чтобы оставаться незамеченными.
Злоумышленники активно используют функцию Windows Subsystem for Linux (WSL) для выполнения шифровальщиков на основе Linux в операционной системе Microsoft. Благодаря этому хакеры надеются обойти существующие средства защиты информации.
Эксперты из компании Trend Micro заметили работу вымогателей через платформу QiLin, которая использует WSL. Эта технология позволяет запускать полное окружение Linux прямо внутри Windows без необходимости использовать виртуальные машины или технологии дуал-бута. Таким образом, разработчики и администраторы систем могут свободно работать с инструментами командной строки Linux (bash, grep, ssh, apt и т. д.), не выходя за пределы Windows приложений.
По словам специалистов Trend Micro, злоумышленники эксплуатировали WSL для выполнения ELF исполняемых файлов на устройствах под управлением Windows, а также чтобы обойти традиционные программы безопасности. «Злоумышленники смогли запустить шифровальщик Linux на системах Windows, используя встроенную функцию WSL, которая позволяет бинарникам Linux работать непосредственно в среде Windows без необходимости виртуальной машины», — отмечают представители Trend Micro.
После проникновения злоумышленники активировали или установили WSL с помощью скриптов и командных инструментов, а затем развернули вредоносный код внутри этой среды. Это позволяло им выполнять шифрование данных напрямую на хостах под управлением Windows, минуя большинство систем защиты, ориентированных на обнаружение традиционной угрозы malware в Windows-системах.
Многие решения для обнаружения и реагирования (EDR) сосредотачиваются исключительно на поведении файлов Windows PE, пропуская подозрительные действия внутри WSL.
QiLin является одним из наиболее активных вымогателей как сервис (Raas), который был замечен еще в 2022 году под названием Agenda, но после ребрендинга превратился в одну из самых масштабных платформ для вымогательства данных и денег. Среди крупнейших жертв — организации с критическими данными: медицинские учреждения и лаборатории (например, атака на NHS в Великобритании), государственные структуры, энергетические компании и крупные корпорации, включая недавние инциденты с фирмами вроде Asahi.
