СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
30.10.2025
#Dev#ИБ

Хакеры-вымогатели используют шифровальщики Linux в Windows

Хакеры-вымогатели используют шифровальщики Linux в Windows

Изображение: recraft

Хакеры, стоящие за программой-вымогателем Qilin, начали применять нетипичную тактику: они используют встроенную в Windows подсистему для Linux (WSL), чтобы запускать шифровальщики, изначально разработанные для Linux, на системах под управлением Windows. Об этом говорится в новом техническом отчёте компании Trend Micro.

Подсистема Windows для Linux (WSL) создавалась как инструмент для разработчиков, позволяющий запускать Linux-инструменты и команды в среде Windows без необходимости виртуальных машин или двойной загрузки. Однако в руках злоумышленников этот механизм превратился в скрытый канал доставки вредоносного ПО, который сложно отслеживать традиционными средствами защиты.

По данным Trend Micro, в новых атаках группа Qilin активирует WSL на скомпрометированных системах, а затем разворачивает через неё исполняемые файлы ELF (формат Linux-программ), минуя стандартные системы обнаружения угроз. На большинстве конечных точек Windows системы EDR (Endpoint Detection and Response) ориентированы на выявление активности формата PE (исполняемых файлов Windows), но зачастую игнорируют процессы, происходящие в WSL.

После активации WSL злоумышленники устанавливают туда Linux-вариант шифровальщика и запускают его прямо из этой подсистемы. Это позволяет им:

  • обходить антивирусные и поведенческие защитные механизмы;
  • действовать незаметно в рамках разрешённой Windows-инфраструктуры;
  • запускать вредоносную нагрузку без создания подозрительных файлов в основной системе.

Qilin (ранее известный под именем Agenda) функционирует по модели RaaS (Ransomware-as-a-Service) и продолжает наращивать активность с конца 2022 года. В рамках этой схемы киберпреступники предоставляют шифровальщик и инфраструктуру для вымогательства в аренду другим хакерским группам.

Группа отметилась рядом громких атак. Самой заметной остаётся инцидент с лондонской лабораторной сетью Synnovis в 2024 году, в результате которого были парализованы службы британской NHS. Также известны атаки на поставщиков коммунальных услуг, муниципальные власти США, промышленные компании и медицинские учреждения. В последние месяцы в отчётах фигурируют имена таких корпораций, как Asahi, подвергшихся атаке с утечкой данных.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: