Der Erpressungstrojaner REvil hat es seit Neuestem neben Netzwerkspeichern auch VMs im Visier und verschlüsselt Daten gegen Lösegeld. Mehrere Sicherheitsforscher berichten von einer erweiterten Version der Ransomware. Auf Basis eines portablen Linux-Systems soll der Trojaner NAS-Systeme und mit VMware ESXi erstellte virtuelle Maschinen infizieren. Schlägt der Schädling zu, verschlüsselt er Dateien und fordert Lösegeld. In welchem Umfang Attacken stattfinden, ist derzeit nicht bekannt. Ein Sicherheitsforscher warnt davor, dass die Malware in einigen Fällen den ESXi-Daemon nicht beendet und es so im Zuge der Verschlüsselung zu korrupten Daten kommen kann. Ihm zufolge sollen auch die Macher der Erpressungstrojaner Babuk, DarkSide, GoGoogle, Hellokitty und RansomExx/Defray Linux-Varianten entwickelt haben, die EXSi-Server infizieren. REvil ist seit 2019 aktiv und hat seitdem unzählige Computer befallen und erfolgreich Lösegeld erpresst. Die Hintermänner betreiben ein Affiliate-Programm, bei dem Dritte den Schädling nutzen können und die REvil-Macher kassieren Provisionen.
