美國當(dāng)?shù)貢r間2021年9月24日星期五，zerox威脅情報小組發(fā)現(xiàn)了一種名為“巨像”（Colossus）的勒索軟件變種，它會影響運(yùn)行微軟Windows操作系統(tǒng)的機(jī)器。該勒索有許多功能，包括通過Themida二進(jìn)制打包和沙箱逃避功能。該勒索軟件有一個與受害者建立溝通的支持網(wǎng)站，該網(wǎng)站很可能是在2021年9月20日開通的。該勒索軟件與EpsilonRed、BlackCocaine和一些Sodinokibi/REvil勒索軟件的勒索信息結(jié)構(gòu)相似。截至2021年9月24日，已知有一家受害者，勒索運(yùn)營者正在與受害談判。受害者是一家總部位于美國的汽車集團(tuán)。根據(jù)勒索軟件的戰(zhàn)術(shù)、技術(shù)和程序（TTPs），這些運(yùn)營人員看起來至少與其他現(xiàn)有的勒索軟件即服務(wù)（RaaS）組織非常熟悉。

　　針對Windows系統(tǒng)，“巨像”勒索軟件被用來攻擊美國的一個汽車經(jīng)銷商集團(tuán)，其勒索軟件運(yùn)營者威脅要泄露200GB被盜數(shù)據(jù)。

　　這些網(wǎng)絡(luò)犯罪分子要求支付40萬美元以換取解密密鑰，他們已經(jīng)指示受害者通過一個自定義域名的“支持頁面”與他們聯(lián)系。

　　zerox的安全研究人員指出，巨像的運(yùn)營人員似乎很熟悉現(xiàn)有的勒索軟件即服務(wù)（RaaS）組織，甚至可能與其中一個組織有直接聯(lián)系。

　　運(yùn)營者于9月19日通過Tucows注冊了支持門戶網(wǎng)站的域名，并使用dnspod作為他們的DNS提供商。

　　zerox還沒有觀察到與Colossus勒索軟件產(chǎn)品或附屬程序相關(guān)的暗網(wǎng)聊天，但這并不意味著該運(yùn)營與其他勒索軟件即服務(wù)（RaaS）組織沒有關(guān)聯(lián)。

　　據(jù)Zerox分析，與其他勒索軟件樣本類似，一旦二進(jìn)制文件在目標(biāo)環(huán)境上執(zhí)行，它就開始了感染過程。Colossus的樣本利用PowerShell方便了勒索軟件的感染。然而，勒索軟件運(yùn)營者將Themida應(yīng)用程序安裝在了巨像上。Themida是一種用于保護(hù)二進(jìn)制文件的打包程序，它會在自定義虛擬機(jī)中運(yùn)行應(yīng)用程序之前修改底層代碼，這使得對二進(jìn)制文件的分析非常困難。在感染階段，勒索軟件將開始加密過程，對目標(biāo)機(jī)器上的所有文件、文檔和圖像進(jìn)行加密。加密后，受害者將獲得一封包含解密和談判指示的勒索信。操作人員通知受害者訪問巨像網(wǎng)站，并通過提供的電子郵件地址與操作人員聯(lián)系。

　　事實上，Colossus的勒索信與EpsilonRed/BlackCocaine和REvil/Sodinokibi的樣品相似，表明使用了類似的勒索軟件制造者。此外，該網(wǎng)絡(luò)犯罪集團(tuán)還“遵循勒索軟件集團(tuán)消失和重新命名和類似工具集的模式，”研究人員指出。

　　（對比巨像（左）和REvil/Sodinokibi（右）的贖金信息：ZeroFox威脅情報）

　　雖然目前還沒有針對“巨像”的公開勒索軟件網(wǎng)站，但未來幾周可能會出現(xiàn)這樣一個網(wǎng)站，泄露不愿支付贖金的受害者的數(shù)據(jù)。