Des chercheurs en cybersécurité ont découvert une tactique du groupe de ransomware Qilin qui exploite le Windows Subsystem for Linux (WSL) de Microsoft pour exécuter des outils d'encryption basés sur Linux sur des machines Windows. Cette méthode permet aux attaquants de contourner de nombreux systèmes de détection et de réponse aux points d'extrémité (EDR) en opérant dans un environnement sandbox Linux souvent négligé par les outils traditionnels. Cette technique met en lumière la sophistication croissante des opérations de ransomware qui mélangent les systèmes d'exploitation.
Le groupe de ransomware Qilin a adopté une approche furtive en tirant parti de WSL, une fonctionnalité intégrée à Windows conçue pour permettre aux développeurs d'exécuter des environnements Linux sans machines virtuelles. Selon l'analyse d'experts en cybersécurité de BleepingComputer, les opérateurs activent WSL à l'aide de commandes simples, installent une distribution Linux comme Ubuntu et déploient des encryptants compilés pour Linux. Ces charges utiles opèrent au sein de l'espace Linux isolé, accédant et chiffrant les fichiers Windows tout en évitant la détection par les outils EDR qui surveillent principalement les processus Windows.
Cette tactique est apparue dans des attaques récentes, avec des rapports émergents autour du 29 octobre 2025. Les solutions de sécurité traditionnelles se concentrent sur les malwares natifs de Windows, laissant les sous-systèmes Linux non scannés, comme noté dans un rapport de TechRadar. Une fois activés, les encryptants verrouillent les données critiques et laissent des notes de rançon exigeant des paiements en cryptomonnaies, imitant celles d'autres groupes.
WSL ne nécessite qu'un accès administrateur, que les attaquants obtiennent souvent via des violations initiales comme le phishing ou des vulnérabilités—points d'entrée courants dans les versions modernes de Windows. Cette faible barrière permet une intégration fluide, créant des angles morts dans les environnements IT hybrides où Windows domine mais des éléments Linux sont présents.
Ce développement signale une tendance plus large dans le ransomware, avec des groupes comme Buhti adaptant du code de LockBit et Babuk pour cibler plusieurs plateformes. Les entreprises de cybersécurité rapportent une augmentation de tels attaques inter-systèmes d'exploitation, compliquant la détection des menaces. Pour atténuer, les experts conseillent d'améliorer la surveillance de WSL, d'imposer un accès aux privilèges minimaux, d'appliquer des correctifs réguliers et d'utiliser des analyses comportementales pour repérer des anomalies comme des installations Linux inattendues.
À mesure que les systèmes d'exploitation convergent via des fonctionnalités comme WSL, les organisations doivent adopter des mesures de sécurité unifiées. L'échec à combler ces lacunes pourrait entraîner plus de violations non détectées dans les réseaux d'entreprise.