美國(guó)當(dāng)?shù)貢r(shí)間2021年9月24日星期五,，zerox威脅情報(bào)小組發(fā)現(xiàn)了一種名為“巨像”（Colossus）的勒索軟件變種,，它會(huì)影響運(yùn)行微軟Windows操作系統(tǒng)的機(jī)器,。該勒索有許多功能，包括通過(guò)Themida二進(jìn)制打包和沙箱逃避功能,。該勒索軟件有一個(gè)與受害者建立溝通的支持網(wǎng)站,，該網(wǎng)站很可能是在2021年9月20日開(kāi)通的。該勒索軟件與EpsilonRed,、BlackCocaine和一些Sodinokibi/REvil勒索軟件的勒索信息結(jié)構(gòu)相似,。截至2021年9月24日，已知有一家受害者,，勒索運(yùn)營(yíng)者正在與受害談判,。受害者是一家總部位于美國(guó)的汽車(chē)集團(tuán)。根據(jù)勒索軟件的戰(zhàn)術(shù),、技術(shù)和程序（TTPs）,，這些運(yùn)營(yíng)人員看起來(lái)至少與其他現(xiàn)有的勒索軟件即服務(wù)（RaaS）組織非常熟悉。

　　針對(duì)Windows系統(tǒng),，“巨像”勒索軟件被用來(lái)攻擊美國(guó)的一個(gè)汽車(chē)經(jīng)銷(xiāo)商集團(tuán),，其勒索軟件運(yùn)營(yíng)者威脅要泄露200GB被盜數(shù)據(jù)。

　　這些網(wǎng)絡(luò)犯罪分子要求支付40萬(wàn)美元以換取解密密鑰,，他們已經(jīng)指示受害者通過(guò)一個(gè)自定義域名的“支持頁(yè)面”與他們聯(lián)系,。

　　zerox的安全研究人員指出，巨像的運(yùn)營(yíng)人員似乎很熟悉現(xiàn)有的勒索軟件即服務(wù)（RaaS）組織,，甚至可能與其中一個(gè)組織有直接聯(lián)系,。

　　運(yùn)營(yíng)者于9月19日通過(guò)Tucows注冊(cè)了支持門(mén)戶(hù)網(wǎng)站的域名,，并使用dnspod作為他們的DNS提供商,。

　　zerox還沒(méi)有觀察到與Colossus勒索軟件產(chǎn)品或附屬程序相關(guān)的暗網(wǎng)聊天,，但這并不意味著該運(yùn)營(yíng)與其他勒索軟件即服務(wù)（RaaS）組織沒(méi)有關(guān)聯(lián)。

　　據(jù)Zerox分析,，與其他勒索軟件樣本類(lèi)似,，一旦二進(jìn)制文件在目標(biāo)環(huán)境上執(zhí)行，它就開(kāi)始了感染過(guò)程,。Colossus的樣本利用PowerShell方便了勒索軟件的感染,。然而，勒索軟件運(yùn)營(yíng)者將Themida應(yīng)用程序安裝在了巨像上,。Themida是一種用于保護(hù)二進(jìn)制文件的打包程序,，它會(huì)在自定義虛擬機(jī)中運(yùn)行應(yīng)用程序之前修改底層代碼，這使得對(duì)二進(jìn)制文件的分析非常困難,。在感染階段,，勒索軟件將開(kāi)始加密過(guò)程，對(duì)目標(biāo)機(jī)器上的所有文件,、文檔和圖像進(jìn)行加密,。加密后，受害者將獲得一封包含解密和談判指示的勒索信,。操作人員通知受害者訪(fǎng)問(wèn)巨像網(wǎng)站,，并通過(guò)提供的電子郵件地址與操作人員聯(lián)系。

　　事實(shí)上,，Colossus的勒索信與EpsilonRed/BlackCocaine和REvil/Sodinokibi的樣品相似,，表明使用了類(lèi)似的勒索軟件制造者。此外,，該網(wǎng)絡(luò)犯罪集團(tuán)還“遵循勒索軟件集團(tuán)消失和重新命名和類(lèi)似工具集的模式,，”研究人員指出。

　?。▽?duì)比巨像（左）和REvil/Sodinokibi（右）的贖金信息：ZeroFox威脅情報(bào)）

　　雖然目前還沒(méi)有針對(duì)“巨像”的公開(kāi)勒索軟件網(wǎng)站,，但未來(lái)幾周可能會(huì)出現(xiàn)這樣一個(gè)網(wǎng)站，泄露不愿支付贖金的受害者的數(shù)據(jù),。