Qilin ransomware koristi Linux na Windowsima kako bi izbjegao detekciju EDR alata
Hakeri su pronašli novi način za napad na kritične sektore. Korištenjem Windows Subsystem for Linux (WSL) uspješno zaobilaze EDR alate i pokreću Linux enkriptore izravno na Windows sustavima, ostavljajući mnoge tvrtke ranjivima
Stručnjaci za kibernetičku sigurnost otkrili su zabrinjavajući trend u kojem hakeri koriste Linux enkriptore unutar Windows okruženja kako bi izbjegli detekciju. Prema izvješću istraživača iz tvrtke Trend Micro, poznata ransomware grupa Qilin iskorištava značajku Windows Subsystem for Linux (WSL) za provođenje svojih napada.
WSL je komponenta Windowsa koja administratorima i developerima omogućuje pokretanje potpunog Linux okruženja izravno na Windows stroju, bez potrebe za virtualnim mašinama ili dual-boot sustavom. To im dopušta korištenje popularnih Linux alata kao što su bash, grep ili ssh usporedno s Windows aplikacijama.
Napadači zloupotrebljavaju ovu funkcionalnost kako bi zaobišli tradicionalne sigurnosne alate. "U ovom slučaju, akteri prijetnje uspjeli su pokrenuti Linux enkriptor na Windows sustavima iskorištavanjem Windows Subsystem for Linux (WSL)", navodi se u izvješću.
"Nakon što ostvare pristup, napadači pomoću skripti ili naredbenog retka omoguće ili instaliraju WSL, a zatim unutar tog okruženja pokreću Linux ransomware. To im omogućuje izvođenje enkriptora temeljenog na Linuxu izravno na Windows hostu, izbjegavajući pritom mnoge obrambene mehanizme usmjerene na detekciju tradicionalnog Windows malwarea."
Problem leži u činjenici da su mnogi Endpoint Detection and Response (EDR) proizvodi fokusirani na praćenje ponašanja Windows PE (Portable Executable) datoteka, zbog čega im sumnjive aktivnosti unutar izoliranog WSL okruženja često promaknu.
Qilin je Ransomware-as-a-Service (RaaS) operacija koja je prvi put primijećena 2022. godine, prvotno poznata pod imenom Agenda. Od rebrandinga, izrasla je u jednu od najaktivnijih platformi za iznudu. Njihove najveće i najpoznatije žrtve obično su organizacije iz kritičnih sektora koje posjeduju velike količine osjetljivih podataka. Među njima se ističu pružatelji zdravstvenih usluga (kao što je napad na Synnovis 2024. koji je poremetio rad britanskog NHS-a), vladine agencije, komunalna i proizvodna poduzeća te velike privatne tvrtke, o čemu svjedoče i nedavne tvrdnje o napadu na tvrtku Asahi.
Ova nova taktika, kako prenosi TechRadar, predstavlja ozbiljan izazov za sigurnosne timove. Kako bi se obranile, organizacije moraju prilagoditi svoje strategije i osigurati da njihovi sigurnosni alati imaju sposobnost nadzora i analize aktivnosti unutar WSL okruženja, a ne samo na razini tradicionalnog Windows operativnog sustava.
