Cybersäkerhetsforskare har avslöjat en taktik från Qilin ransomwaregruppen som utnyttjar Microsofts Windows Subsystem for Linux (WSL) för att köra Linux-baserade krypteringsverktyg på Windows-datorer. Denna metod gör det möjligt för angripare att kringgå många endpoint detection and response (EDR)-system genom att verka i en Linux-sandboxmiljö som traditionella verktyg ofta förbiser. Tekniken belyser den växande sofistikeringen hos ransomwareoperationer som blandar operativsystem.
Qilin ransomwaregruppen har antagit en smygande approach genom att utnyttja WSL, en inbyggd Windows-funktion utformad för utvecklare att köra Linux-miljöer utan virtuella maskiner. Enligt analys från cybersäkerhetsexperter på BleepingComputer aktiverar operatörerna WSL med enkla kommandon, installerar en Linux-distribution som Ubuntu och distribuerar krypterare kompilerade för Linux. Dessa payloads arbetar inom den sandboxade Linux-ytan, vilket ger tillgång till och krypterar Windows-filer samtidigt som de undviker detektion från EDR-verktyg som främst övervakar Windows-processer.
Denna taktik dök upp i nyliga attacker, med rapporter som dök upp runt 29 oktober 2025. Traditionella säkerhetslösningar fokuserar på Windows-nativ malware, och lämnar Linux-delar oskannade, som noteras i en TechRadar-rapport. När de är aktiva låser krypterarna kritiska data och lämnar lösennoter som kräver betalning i kryptovaluta, liknande noter från andra grupper.
WSL kräver endast administrativ åtkomst, som angripare ofta erhåller genom initiala intrång som phishing eller sårbarheter—vanliga ingångspunkter i moderna Windows-versioner. Denna låga tröskel möjliggör sömlös integration, vilket skapar blinda fläckar i hybrida IT-miljöer där Windows dominerar men Linux-element finns närvarande.
Utvecklingen signalerar en bredare trend inom ransomware, med grupper som Buhti som anpassar kod från LockBit och Babuk för att rikta in sig på flera plattformar. Cybersäkerhetsföretag rapporterar en ökning av sådana kors-operativsystemattacker, vilket komplicerar hotdetektion. För att mildra rekommenderar experter att förbättra WSL-övervakning, införa minsta-privilegier-åtkomst, tillämpa regelbundna patchar och använda beteendeanalys för att upptäcka avvikelser som oväntade Linux-installationer.
När operativsystem konvergerar genom funktioner som WSL måste organisationer anta enhetliga säkerhetsåtgärder. Misslyckande att adressera dessa luckor kan leda till fler odetekterade intrång i företagsnätverk.