Pesquisadores de cibersegurança descobriram uma tática do grupo de ransomware Qilin que explora o Subsistema do Windows para Linux (WSL) da Microsoft para executar ferramentas de encriptação baseadas em Linux em máquinas Windows. Esse método permite que atacantes contornem muitos sistemas de detecção e resposta de endpoints (EDR) operando em um ambiente sandbox Linux que ferramentas tradicionais frequentemente ignoram. A técnica destaca a sofisticação crescente das operações de ransomware que misturam sistemas operacionais.
O grupo de ransomware Qilin adotou uma abordagem furtiva ao aproveitar o WSL, um recurso integrado do Windows projetado para desenvolvedores executarem ambientes Linux sem máquinas virtuais. De acordo com a análise de especialistas em cibersegurança do BleepingComputer, os operadores ativam o WSL usando comandos simples, instalam uma distribuição Linux como Ubuntu e implantam encriptadores compilados para Linux. Essas cargas úteis operam dentro do espaço Linux isolado, acessando e encriptando arquivos do Windows enquanto evitam detecção por ferramentas EDR que monitoram principalmente processos do Windows.
Essa tática surgiu em ataques recentes, com relatórios surgindo por volta de 29 de outubro de 2025. Soluções de segurança tradicionais focam em malware nativo do Windows, deixando subsistemas Linux sem escaneamento, como observado em um relatório da TechRadar. Uma vez ativos, os encriptadores bloqueiam dados críticos e deixam notas de resgate exigindo pagamentos em criptomoedas, imitando notas de outros grupos.
O WSL requer apenas acesso administrativo, que os atacantes frequentemente obtêm por meio de violações iniciais como phishing ou vulnerabilidades—pontos de entrada comuns em versões modernas do Windows. Essa baixa barreira permite integração perfeita, criando pontos cegos em ambientes de TI híbridos onde o Windows domina, mas elementos Linux estão presentes.
O desenvolvimento sinaliza uma tendência mais ampla no ransomware, com grupos como Buhti adaptando código do LockBit e Babuk para atingir múltiplas plataformas. Empresas de cibersegurança relatam um aumento em tais ataques entre sistemas operacionais, complicando a detecção de ameaças. Para mitigar, especialistas recomendam aprimorar o monitoramento do WSL, impor acesso de privilégios mínimos, aplicar patches regulares e usar análises comportamentais para identificar anomalias como instalações inesperadas de Linux.
À medida que os sistemas operacionais convergem por meio de recursos como o WSL, as organizações devem adotar medidas de segurança unificadas. A falha em abordar essas lacunas pode levar a mais violações não detectadas em redes empresariais.