REvil，也称为 Sodinokibi，是一种成熟且被广为使用的勒索软体即服务 (RaaS) 产品。犯罪分子可以向开发者租用勒索软体，新增自己的锁定目标，再将勒索软体散布到受害者的电脑。因此，REvil 勒索软体攻击的方法和影响力是高度可变的，具体取决于租用者的工具、行为、资源和技能。

Sophos 研究人员发现的REvil攻击工具和行为包括：

透过暴力破解攻击已知的网际网路服务，如 VPN、远端桌面通讯协定 (RDP)、桌面远端管理工具 (如 VNC），甚至是一些以云端为基础的管理系统；滥用透过恶意软体或网路钓鱼取得的凭证；也会只将装载附加到目标网路上已经存在的其他恶意软体

-使用 Mimikatz 取得网域系统管理员的凭证和提升权限

-透过停用或删除备份、停用安全技术，以及找出欲加密的目标电脑，为后续散布勒索软体打下基础

-上传大量外泄资料 — 尽管 Sophos 研究人员只在约半数 REvil/Sodonokibi 调查事件中看到这个行为。在有资料被窃的案件中下，大约四分之三的攻击使用 Mega.nz 作为被窃资料的 (临时) 存放区

-在资料加密之前，将电脑重新启动到安全模式以绕过端点保护工具

Sophos 首席研究员 Andrew Brandt 表示，REvil/Sodinokibi 是出现以久的常见勒索软体，造成许多破坏并索求数百万美元的赎金。它的成功或许建立在一点，即这种勒索软体即服务产品所发动的攻击每次都是不同的。防御人员很难知道什么才是需要注意的警告信号。

根据 Sophos Rapid Response的调查结果，部署REvil勒索软体的攻击者可能会采人为进行且非常持久。在该团队最近调查的一次REvil攻击中，从受感染伺服器收集的资料显示，在五分钟内就遭到大约 35,000次失败的登入尝试，来自全球349个唯一的 IP 地址。

此外值得注意的是，勒索软体的发展不仅越来越复杂，而且密度越来越高。在Sophos 研究人员看到的两次REvil攻击中，最初的进入点是另一个攻击者在早期勒索软体攻击时留下的后门。

防御人员可以采取一些措施来保护他们的企业、网路和端点。最理想的情况，就是阻止攻击者进入网路。但这一点不容易办到，因此还必须进行有效的侦测。如果能早期侦测到入侵者的存在，就可以阻止攻击进一步展开。