İlk olarak 2019’da ortaya çıkan REvil (diğer adıyla Sodinokibi), hizmet olarak fidye yazılımı operatörleri arasında en üretken olanı. Vurdukları hedefler ve rekor fidye yazılımı kazançları nedeniyle son birkaç ayda çok sayıda manşete konu oldular. Son saldırıda REVil, MSP’ler için BT Yönetim Yazılımı sağlayan bir şirkete bulaştı ve dünya çapında çok sayıda şirketi etkisi altına aldı. Saldırganlar, PowerShell scripti aracılığıyla kötü niyetli bir yük dağıttı ve bu da muhtemelen MSP sağlayıcısının yazılımı aracılığıyla çalıştırıldı.
Bu komut dosyası Microsoft Defender for Endpoint koruma özelliklerini devre dışı bıraktıktan sonra meşru bir Microsoft binary dosyası, Microsoft Defender çözümünün eski bir sürümü ve REvil fidye yazılımı içeren kötü amaçlı kitaplık içeren kötü amaçlı bir yürütülebilir dosyanın kodunu çözdü. Saldırganlar yükleyicideki bu bileşen kombinasyonunu kullanarak DLL yandan yükleme tekniğinden yararlandı ve birden çok kuruluşa aynı anda saldırdı.
Tehdit İstihbarat Servisini kullanan Kaspersky, 22 ülkede 5 binden fazla saldırı girişimi gözlemledi. Bunlar arasında en çok etkilenenler İtalya (%45,2 kayıtlı saldırı girişimi), ABD (%25,91), Kolombiya (%14,83), Almanya (%3,21) ve Meksika oldu (%2.21).
Kaspersky Tehdit Keşif Başkanı Vladimir Kuskov, şunları söyledi: “Fidye yazılımı çeteleri ve bağlı olduğu kuruluşlar, Colonial Pipeline, JBS ve o zamandan beri farklı ülkelerdeki diğer birçok kuruluşa yapılan yüksek profilli saldırıların ardından oyunu büyütmeye devam ediyor. Bu sefer REvil operatörleri dünya çapında binlerce yönetilen işletmeye MSP’ler aracılığıyla büyük bir saldırı gerçekleştirdi. Bu vaka, tedarikçiler ve ortakları dahil olmak üzere tüm aşamalarda uygun siber güvenlik ölçümlerinin ve çözümlerinin uygulanmasının ne kadar önemli olduğunu bir kez daha gösteriyor.”