Nieuws
image

'Linux-ransomware via WSL uitgevoerd op Windowscomputers'

woensdag 29 oktober 2025, 15:04 door Redactie, 8 reacties

De Qilin-ransomwaregroep maakt gebruik van het Windows Subsystem for Linux (WSL) om Linux-ransomware op Windowscomputers uit te voeren, zo stelt antivirusbedrijf Trend Micro. De virusbestrijder kwam vorige week met een analyse van een aanval waarbij Linux-ransomware was ingezet tegen een Windowsomgeving. In eerste instantie ontbrak informatie over hoe het Linux-bestand precies op de computers werd uitgevoerd, maar in een update meldt Trend Micro dat dit via WSL gebeurde.

Via het Windows Subsystem for Linux is het mogelijk om Linux executables direct op een Windowssysteem uit te voeren, zonder dat hiervoor bijvoorbeeld een virtual machine is vereist. Volgens het antivirusbedrijf hebben de aanvallers WSL op aangevallen systemen ingeschakeld of zelf geïnstalleerd, zodat de omgeving klaar was voor Linux-gebaseerde malware. Het gebruik van Linux-ransomware zou detectie moeten bemoeilijken.

"Deze ongewone aanpak combineert legitieme remote management tools met WSL om crossplatform malware uit te rollen, en zo traditionele Windows-gerichte security controls te omzeilen. De uitvoeringsmethode is noemenswaardig, aangezien de meeste endpoint-detectiesystemen niet zijn ingesteld om Linux binaires te monitoren die via WSL worden uitgevoerd, met name als dit via legitieme remote management tools wordt gedaan", aldus de onderzoekers.

De aanvallers maken gebruik van drie technieken om toegang tot de systemen van hun slachtoffers te krijgen. Het gaat om spear phishing, geldige inloggegevens, die bijvoorbeeld eerder zijn gestolen of via een bruteforce-aanval zijn achterhaald, en fake captcha's. Hierbij worden internetgebruikers misleid om een "captcha" op te lossen door het uitvoeren van een commando op het systeem. In werkelijkheid wordt er zo malware geïnstalleerd.

Zodra de aanvallers toegang tot een systeem hebben wordt via WinSCP de Linux-ransomware naar het systeem gekopieerd. Vervolgens gebruiken de aanvallers de remote management tool Splashtop om de ransomware binnen de WSL-omgeving van het systeem uit te voeren. Volgens Trend Micro zijn dit jaar al 700 organisaties in 62 landen succesvol door de Qilin-ransomwaregroep aangevallen. Het zou ook gaan om de Friese afvalverwerker Omrin.

Reacties (8)
Reageer met quote
Gisteren, 15:46 door Anoniem
Als gebruikers al toegang hebben tot het systeem is dit toch geen nieuws. Dat is alsof je zegt dat een inbreker eenmaal binnen nog een feestje ging geven. Hij werd niet opgemerkt omdat hij dit in de kelder deed waar we niet kijken. Maar niemand had in de gaten dat de voordeur open stond op de begane grond.
Reageer met quote
Gisteren, 16:25 door Anoniem
En hoe krijg je als externe partij de mogelijkheid om WSL te installeren?
Dat doe je niet via DECT ofzo..
Gevalletje van 1 motorig vliegtuig stort neer op kerkhof, 100.000 doden.
Reageer met quote
Gisteren, 19:17 door Anoniem
Snelle check: Windows zoekfunctie op WSL. Dan gaf hij hier aan run command. Niet bang aangelegd dacht ik doe maar. DOS schermpje dat zei dat WSL niet geinstalleerd was (die van de windows fabriek zijn er nogal goed in om vanalles te installeren waar je niet om gevraagd hebt.). Menos mal.

Linux executables op windows runnen is zoals een opera zingen op de camping.

Wat zouden de zouden de buren dan van me denken?
Reageer met quote
Gisteren, 19:50 door Anoniem
Dit verbaast me ook helemaal niets. Leg mij eens uit waarom je WSL zou activeren binnen Windows en niet een Linux VM of native Linux te draaien? Dit is gewoon een grotere 'attack vector' die je niet moet willen.
Reageer met quote
Gisteren, 20:15 door Anoniem
Door Anoniem: Dit verbaast me ook helemaal niets. Leg mij eens uit waarom je WSL zou activeren binnen Windows en niet een Linux VM of native Linux te draaien? Dit is gewoon een grotere 'attack vector' die je niet moet willen.
WSL is hetzelfde idee als wine onder LInux. Met WSL kom je veel makkelijker bij resources zoals een windows share. Voor een VM moet je van alles en nog wat configureren incl firewall. Eigenlijk dezelfde reden waarom sommigen onder Linux WINE installeren ipv een windows VM.
IK gebruik WSL als bioinformaticus omdat een Linux VM op deze uni niet wordt gesupport. Dus de python scripts in een ubuntu bash shell en Rstudio onder windows. Heb hierbij ook een opslag nodig van TB's. Via windows is dat makkelijk beschikbaar plus dat ik alleen maar een bash shell nodig heb en geen geheel Linux systeem incl services. Mijn voorkeur zou wel uitgaan naar alles onder Fedora Linux (KDE) maar dat wordt helaas ook niet ge-support.
Reageer met quote
Gisteren, 20:21 door Anoniem
Door Anoniem: En hoe krijg je als externe partij de mogelijkheid om WSL te installeren?
Dat doe je niet via DECT ofzo..
Gevalletje van 1 motorig vliegtuig stort neer op kerkhof, 100.000 doden.
Je hebt een PowerShell met admin rechten nodig. Dus je systeem is al compleet gehackt. Wel lollig dat ze dan via WSL onder de radar blijven. Die windows antivirus stelt dus ook niet zo veel voor. Er draaien tegenwoordig ook complete live Linux systemen in windows11 RAM. Hebben ze ook niet door :)
Ik vind het zo wie zo allemaal grappig omdat ik mensen ken die alleen onder WSl (ook grafisch) werken en in windows zelf niks doen alleen omdat het werk alleen windows support.
Reageer met quote
Gisteren, 20:34 door Anoniem
Door Anoniem: En hoe krijg je als externe partij de mogelijkheid om WSL te installeren?
Tegen de tijd dat ze aan die Linux-executable toekwamen hadden ze via andere wegen hun rechten al verhoogd. Met die verhoogde rechten konden ze WSL activeren en vervolgens die Linux-executable uitvoeren. De toegevoegde waarde van die aanpak boven hun ding direct met een Windows-executable of -script doen was dat ze zo monitoringsoftware konden omzeilen die niet was ingesteld om ook WSL in de gaten te houden.

In mijn ogen suggereert dit dat die monitoringsoftware werkt volgens het uitgangspunt dat wat niet expliciet verboden wordt toegestaan is. Als je dingen goed dicht wilt timmeren heb je het omgekeerde nodig: wat niet expliciet is toegestaan is verboden. Aangenomen dat die monitoringsoftware op zich WSL ondersteunt (wat Trend Micro suggereert door het over de configuratie ervan te hebben en niet over de mogelijkheden die het heeft) dan zou die laatste aanpak WSL en die Linux-executable moeten hebben blokkeren, en alles waar de beheerders niet aan gedacht hebben.
Reageer met quote
Gisteren, 20:35 door Anoniem
Het wordt steeds gekker. Windows ransomware werkt niet op Linux maar Linux ransomware wel op windows.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure