O grupo de ransomware Qilin está utilizando o subsistema Windows para Linux (WSL) para executar, em ambientes Windows, ransomware projetado para Linux. O alerta é da empresa de segurança Trend Micro. Na semana passada, a empresa divulgou uma análise de um ataque no qual um ransomware no Linux foi implantado contra um ambiente Windows. Inicialmente, faltavam informações sobre como exatamente o arquivo Linux foi executado nos computadores, mas em uma atualização, a Trend Micro informou que isso foi feito por meio da WSL.
Leia também
Trend Micro analisa vulnerabilidades em carros conectados
Qilin expande ransomware com infraestrutura cega
O Subsistema Windows para Linux (WSL) permite que o Linux seja executado diretamente em um sistema Windows, sem a necessidade de uma máquina virtual, por exemplo. De acordo com a empresa, os aventureiros configuraram ou instalaram o WSL em sistemas vistos, preparando o ambiente para rodar o malware baseado em Linux.
Essa abordagem incomum combina ferramentas legítimas de gerenciamento remoto com o WSL, para implantar malware multiplataforma, contornando os controles de segurança tradicionais focados no Windows. O método de execução é notável, visto que a maioria dos sistemas de detecção de endpoints não está configurado para monitorar binários Linux, especialmente quando executados por meio de ferramentas legítimas de gerenciamento remoto.
Os atacantes utilizam três técnicas para obter acesso aos sistemas de suas vítimas. Essas técnicas incluem spear phishing, credenciais de login válidas, possivelmente roubadas anteriormente ou obtidas por meio de ataques de força bruta e CAPTCHAs falsos. Esses métodos enganam os usuários da internet, levando-os a resolver um CAPTCHA ao executar um comando no sistema. Na realidade, isso instala malware.
Assim que os atacantes obtiveram acesso a um sistema, eles copiaram o ransomware Linux para ele usando o WinSCP. Em seguida, utilize a ferramenta de gerenciamento remoto Splashtop para executar o ransomware no ambiente WSL do sistema. De acordo com a Trend Micro, 700 organizações em 62 países já foram atacadas com sucesso pelo grupo de ransomware Qilin este ano.
