'Linux-ransomware via WSL uitgevoerd op Windowscomputers'

In dit artikel:

Antivirusbedrijf Trend Micro meldt dat de Qilin-ransomwaregroep Linux-ransomware op Windows-machines draait door gebruik te maken van het Windows Subsystem for Linux (WSL). In een recente analyse en daaropvolgende update legt Trend Micro uit dat aanvallers WSL op doelcomputers inschakelen of zelf installeren, zodat Linux-binaries zonder virtuele machine kunnen worden uitgevoerd — een aanpak die detectie bemoeilijkt omdat veel endpoint-tools geen WSL-processen monitoren.

Voor de initiele toegang gebruikt Qilin drie methoden: spearphishing, het misbruiken van geldige (gestolen of brute-force verkregen) accounts, en zogenoemde fake captchas die slachtoffers laten uitvoeren van commando’s waardoor malware wordt geïnstalleerd. Na infiltratie kopiëren de aanvallers met WinSCP de Linux-ransomware naar het doel, en starten die binnen WSL op via de remote managementtool Splashtop.

Trend Micro waarschuwt dat deze mix van legitieme beheerprogramma’s en WSL crossplatform-malware mogelijk maakt en traditionele Windows-gerichte beveiligingsmaatregelen ontloopt. Sinds het begin van het jaar heeft Qilin volgens het bedrijf ongeveer 700 organisaties in 62 landen getroffen; onder de slachtoffers bevindt zich ook de Friese afvalverwerker Omrin.