Cybercriminelen lanceren Linux-aanval via Windows

Recent onderzoek heeft aangetoond dat de Qilin-ransomware-operatie Linux-encryptors vanuit Windows uitvoert met behulp van het Windows Subsystem for Linux (WSL). Hierdoor worden traditionele beveiligingstools omzeild.

De ransomware, die aanvankelijk in augustus 2022 als "Agenda" werd geïntroduceerd, veranderde al snel van naam naar Qilin. Deze malwaregroep is intussen een van de meest actieve ransomware-operaties wereldwijd, met meldingen van meer dan 700 aanvallen in 62 landen alleen al dit jaar.

Zowel Trend Micro als Cisco Talos melden dat de groep momenteel maandelijks meer dan 40 nieuwe slachtoffers maakt. Het team van cybercriminelen gebruikt een mix van legitieme programma’s en tools voor extern beheer om netwerken binnen te dringen en gegevens te stelen. Bekende toepassingen als AnyDesk, ScreenConnect, en Splashtop worden gebruikt voor toegang op afstand, terwijl Cyberduck en WinRAR voor datadiefstal worden ingezet.

De criminelen maken ook gebruik van ingebouwde Windows-hulpprogramma’s zoals Paint en Kladblok om documenten op gevoelige informatie te scannen voordat ze deze stelen.

Beveiligingssoftware uitschakelen met kwetsbare drivers

Trend Micro en Talos hebben geconstateerd dat de Qilin-groep kwetsbare drivers inzet om beveiligingssoftware uit te schakelen voordat encryptors worden geïnstalleerd. Ze gebruiken getekende, maar kwetsbare drivers zoals eskle.sys, en voeren extra kernel drivers uit om verder privileges te verkrijgen.

De aanvallers zetten ook tools in zoals "dark-kill" en "HRSword" om beveiligingssoftware uit te schakelen en hun sporen uit te wissen.

Linux-encryptor via WSL

In december 2023 werd gemeld dat Qilin een nieuwe Linux-encryptor heeft die zich specifiek richt op VMware ESXi-omgevingen. Deze encryptor bevat opties voor debugging en aanpassingen voor de manier waarop virtuele machines worden versleuteld.

Trend Micro heeft ontdekt dat de criminelen de encryptor naar gevoelige systemen overbrengen via WinSCP en vervolgens binnen Windows uitvoeren via de WSL-functie. Hiermee omzeilen ze de traditionele Windows-beveiligingssoftware.

De mogelijkheid om Linux-programma’s direct binnen Windows uit te voeren zonder virtuele machine maakt dat deze aanpak bijzonder effectief is. Veel Windows EDR-producten missen de verdachte activiteiten binnen WSL, waardoor kwaadaardige software aan detectie ontsnapt.

Deze techniek laat zien hoe ransomware-operators zich aanpassen aan hybride Windows- en Linux-omgevingen om hun bereik te maximaliseren en conventionele beveiliging te ontwijken.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.