Hackergruppen Revil, som tros vara baserade i Ryssland, är en av de större aktörerna som använder sig av ransomware för att låsa ned företags IT-system, ofta genom att kryptera stora mängder data. Offren utpressas sedan på stora summor pengar för att återfå kontrollen över sina system. Gruppen står bakom flertalet stora ransomware-attacker, där senaste tillslaget mot Kaseya orsakat havererade kassasystem och hundratals stängda Coop-butiker. Tidigare drabbade bolag inkluderar bland annat datortillverkaren Acer.
Förutom de attacker Revil själva står bakom sysslar de även med vad som kallas ransomware-as-a-service. Det innebär att de skapar och säljer vidare skadlig programvara för utpressning till andra grupper eller individer. Tidigare har gruppen huvudsakligen fokuserat på Windows-system, men enligt en sammanställning på AT&T Alien Labs blogg har de sedan åtminstone maj 2021 utvecklat sina verktyg med sikte på Linux-system.
Sedan slutet av maj har fler av de Linux-anpassade varianterna upptäckts, och enligt AT&T Alien Labs har de identifierat fyra exempel den senaste månaden. Dessa varianter följer samma trend som skadlig programvara från andra aktörer och riktar in sig på Vmwares Esxi, en hypervisor som tillåter virtuella maskiner att dela samma lagringsutrymme. Utöver Esxi utgör även NAS-enheter en måltavla för attacker, något som har potential att ställa till med stora och dyra besvär för eventuella drabbade.
I utbyte mot krypteringsnycklar kräver Revil just nu motsvarande 600 miljoner kronor i bitcoin av Kaseya. Även om företag väljer att inte betala är omfattande driftstörningar och omständliga återställningsprocedurer en kostnad i sig. Som exempel beräknas Coop förlora cirka 90 miljoner för varje dag butikerna tvingas hållas stängda. Det är inte heller ovanligt att data stjäls vid ransomware-attacker och sedan hotas läckas eller säljas om betalning uteblir.
