Peneliti keamanan siber telah mengungkap taktik dari kelompok ransomware Qilin yang mengeksploitasi Windows Subsystem for Linux (WSL) milik Microsoft untuk menjalankan alat enkripsi berbasis Linux di mesin Windows. Metode ini memungkinkan penyerang untuk melewati banyak sistem deteksi dan respons endpoint (EDR) dengan beroperasi di lingkungan sandbox Linux yang sering diabaikan oleh alat tradisional. Teknik ini menyoroti kecanggihan yang semakin meningkat dari operasi ransomware yang menggabungkan sistem operasi.
Kelompok ransomware Qilin telah mengadopsi pendekatan sembunyi-sembunyi dengan memanfaatkan WSL, fitur bawaan Windows yang dirancang untuk pengembang agar menjalankan lingkungan Linux tanpa mesin virtual. Menurut analisis dari pakar keamanan siber di BleepingComputer, operator mengaktifkan WSL menggunakan perintah sederhana, menginstal distribusi Linux seperti Ubuntu, dan menyebarkan enkriptor yang dikompilasi untuk Linux. Payload ini beroperasi dalam ruang Linux yang diisolasi, mengakses dan mengenkripsi file Windows sambil menghindari deteksi dari alat EDR yang terutama memantau proses Windows.
Taktik ini muncul dalam serangan terbaru, dengan laporan yang muncul sekitar 29 Oktober 2025. Solusi keamanan tradisional fokus pada malware asli Windows, meninggalkan subsistem Linux tidak dipindai, seperti yang dicatat dalam laporan TechRadar. Setelah aktif, enkriptor mengunci data kritis dan meninggalkan catatan tebusan yang menuntut pembayaran mata uang kripto, meniru catatan dari kelompok lain.
WSL hanya memerlukan akses administratif, yang sering diperoleh penyerang melalui pelanggaran awal seperti phishing atau kerentanan—titik masuk umum di versi Windows modern. Hambatan rendah ini memungkinkan integrasi mulus, menciptakan titik buta di lingkungan TI hibrida di mana Windows mendominasi tetapi elemen Linux hadir.
Perkembangan ini menandakan tren yang lebih luas dalam ransomware, dengan kelompok seperti Buhti mengadaptasi kode dari LockBit dan Babuk untuk menargetkan platform ganda. Perusahaan keamanan siber melaporkan lonjakan dalam serangan lintas sistem operasi seperti itu, yang menyulitkan deteksi ancaman. Untuk memitigasi, para ahli menyarankan untuk meningkatkan pemantauan WSL, menerapkan akses hak istimewa terkecil, menerapkan patch secara rutin, dan menggunakan analitik perilaku untuk mendeteksi anomali seperti instalasi Linux yang tidak terduga.
Saat sistem operasi menyatu melalui fitur seperti WSL, organisasi harus mengadopsi langkah keamanan terpadu. Kegagalan untuk mengatasi celah ini dapat menyebabkan lebih banyak pelanggaran yang tidak terdeteksi di jaringan perusahaan.