美國(guó)當(dāng)?shù)貢r(shí)間2021年9月24日星期五,zerox威脅情報(bào)小組發(fā)現(xiàn)了一種名為“巨像”(Colossus)的勒索軟件變種,它會(huì)影響運(yùn)行微軟Windows操作系統(tǒng)的機(jī)器。該勒索有許多功能,包括通過(guò)Themida二進(jìn)制打包和沙箱逃避功能。該勒索軟件有一個(gè)與受害者建立溝通的支持網(wǎng)站,該網(wǎng)站很可能是在2021年9月20日開(kāi)通的。該勒索軟件與EpsilonRed、BlackCocaine和一些Sodinokibi/REvil勒索軟件的勒索信息結(jié)構(gòu)相似。截至2021年9月24日,已知有一家受害者,勒索運(yùn)營(yíng)者正在與受害談判。受害者是一家總部位于美國(guó)的汽車集團(tuán)。根據(jù)勒索軟件的戰(zhàn)術(shù)、技術(shù)和程序(TTPs),這些運(yùn)營(yíng)人員看起來(lái)至少與其他現(xiàn)有的勒索軟件即服務(wù)(RaaS)組織非常熟悉。
針對(duì)Windows系統(tǒng),“巨像”勒索軟件被用來(lái)攻擊美國(guó)的一個(gè)汽車經(jīng)銷商集團(tuán),其勒索軟件運(yùn)營(yíng)者威脅要泄露200GB被盜數(shù)據(jù)。
這些網(wǎng)絡(luò)犯罪分子要求支付40萬(wàn)美元以換取解密密鑰,他們已經(jīng)指示受害者通過(guò)一個(gè)自定義域名的“支持頁(yè)面”與他們聯(lián)系。
zerox的安全研究人員指出,巨像的運(yùn)營(yíng)人員似乎很熟悉現(xiàn)有的勒索軟件即服務(wù)(RaaS)組織,甚至可能與其中一個(gè)組織有直接聯(lián)系。
運(yùn)營(yíng)者于9月19日通過(guò)Tucows注冊(cè)了支持門(mén)戶網(wǎng)站的域名,并使用dnspod作為他們的DNS提供商。
zerox還沒(méi)有觀察到與Colossus勒索軟件產(chǎn)品或附屬程序相關(guān)的暗網(wǎng)聊天,但這并不意味著該運(yùn)營(yíng)與其他勒索軟件即服務(wù)(RaaS)組織沒(méi)有關(guān)聯(lián)。
據(jù)Zerox分析,與其他勒索軟件樣本類似,一旦二進(jìn)制文件在目標(biāo)環(huán)境上執(zhí)行,它就開(kāi)始了感染過(guò)程。Colossus的樣本利用PowerShell方便了勒索軟件的感染。然而,勒索軟件運(yùn)營(yíng)者將Themida應(yīng)用程序安裝在了巨像上。Themida是一種用于保護(hù)二進(jìn)制文件的打包程序,它會(huì)在自定義虛擬機(jī)中運(yùn)行應(yīng)用程序之前修改底層代碼,這使得對(duì)二進(jìn)制文件的分析非常困難。在感染階段,勒索軟件將開(kāi)始加密過(guò)程,對(duì)目標(biāo)機(jī)器上的所有文件、文檔和圖像進(jìn)行加密。加密后,受害者將獲得一封包含解密和談判指示的勒索信。操作人員通知受害者訪問(wèn)巨像網(wǎng)站,并通過(guò)提供的電子郵件地址與操作人員聯(lián)系。
事實(shí)上,Colossus的勒索信與EpsilonRed/BlackCocaine和REvil/Sodinokibi的樣品相似,表明使用了類似的勒索軟件制造者。此外,該網(wǎng)絡(luò)犯罪集團(tuán)還“遵循勒索軟件集團(tuán)消失和重新命名和類似工具集的模式,”研究人員指出。
(對(duì)比巨像(左)和REvil/Sodinokibi(右)的贖金信息:ZeroFox威脅情報(bào))
雖然目前還沒(méi)有針對(duì)“巨像”的公開(kāi)勒索軟件網(wǎng)站,但未來(lái)幾周可能會(huì)出現(xiàn)這樣一個(gè)網(wǎng)站,泄露不愿支付贖金的受害者的數(shù)據(jù)。