กลุ่มอาชญากรผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ REvil เริ่มมีการใช้งานเครื่องมือเข้ารหัสเวอร์ชั่น Linux โดยพุ่งเป้าโจมตีเครื่องคอมพิวเตอร์แม่ข่ายแบบเสมือนหรือ Virtual Machine (VM) ที่ทำงานอยู่บน VMware ESXi เป็นหลัก ซึ่งเป็นผลมาจากความนิยมในการใช้งาน VM ขององค์กรในยุคปัจจุบันทำให้กลุ่มอาชญากรไซเบอร์เร่งพัฒนาเครื่องมือที่จะใช้ในการโจมตีด้วยการเข้ารหัสข้อมูลของ VM
เมื่อเดือนพฤษภาคมที่ผ่านมา ผู้เชี่ยวชาญด้านข่าวกรองทางไซเบอร์, Yelisey Boguslavskiy โพสต์ข้อมูลผ่านทวิตเตอร์ว่าพบข้อมูลการประกาศบนเว็บบอร์ดแห่งหนึ่งโดยกลุ่มอาชญากรผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ REvil ทำการยืนยันว่าได้เปิดให้ใช้งานเครื่องมือเข้ารหัสเวอร์ชั่นระบบปฏิบัติการ Linux ซึ่งสามารถใช้โจมตีอุปกรณ์ NAS ได้อีกด้วย
เมื่อวันที่ 28 มิ.ย.64 ที่ผ่านมา กลุ่มนักวิจัยด้านความปลอดภัยทางไซเบอร์จาก MalwareHunterTeam เปิดเผยว่าตรวจพบมัลแวร์เรียกค่าไถ่ REvil เวอร์ชั่น Linux เช่นกัน หรือที่รู้จักกันในชื่อ "Sodinokibi" ซึ่งกำลังพุ่งเป้าโจมตีเครื่องแม่ข่ายที่ใช้งาน VMware ESXI
Vitali Kremez ซึ่งเป็นผู้เชี่ยวชาญด้านข่าวกรองทางไซเบอร์ให้สัมภาษณ์ BleepingComputer หลังจากมีโอกาสได้ทำการวิเคราะห์ไฟล์มัลแวร์พันธ์ุใหม่นี้ว่า มันเป็นไฟล์ ELF ชนิด 64-bit ซึ่งมีการนำรูปแบบการตั้งค่าการใช้งานเหมือนกับไฟล์ Executable ที่พบได้บนระบบปฏิบัติการ Windows และนี่เป็นครั้งแรกที่มีการค้นพบมัลแวร์เรียกค่าไถ่ REvil เวอร์ชั่น Linux ในการโจมตีที่เกิดขึ้นจริงนับตั้งแต่มันถูกเปิดให้ใช้งาน
สำหรับขีดความสามารถของมัลแวร์ชนิดนี้ ผู้โจมตีสามารถกำหนดตำแหน่งของไฟล์ที่ต้องการเข้ารหัสได้ รวมทั้งสามารถเปิดการใช้งาน "Silent Mode" ซึ่งใช้สำหรับป้องกันการปิดการทำงานของ "VMs mode" ดังแสดงตามรายละเอียดในคำแนะนำการใช้งาน (Usage Instructions) ของมัลแวร์ ดังนี้
Usage example: elf.