《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > Colossus勒索軟件攻擊了美國(guó)一家汽車公司

Colossus勒索軟件攻擊了美國(guó)一家汽車公司

2021-09-29
來(lái)源:網(wǎng)空閑話
關(guān)鍵詞: 勒索軟件 汽車公司

  美國(guó)當(dāng)?shù)貢r(shí)間2021年9月24日星期五,zerox威脅情報(bào)小組發(fā)現(xiàn)了一種名為“巨像”(Colossus)的勒索軟件變種,它會(huì)影響運(yùn)行微軟Windows操作系統(tǒng)的機(jī)器。該勒索有許多功能,包括通過(guò)Themida二進(jìn)制打包和沙箱逃避功能。該勒索軟件有一個(gè)與受害者建立溝通的支持網(wǎng)站,該網(wǎng)站很可能是在2021年9月20日開(kāi)通的。該勒索軟件與EpsilonRed、BlackCocaine和一些Sodinokibi/REvil勒索軟件的勒索信息結(jié)構(gòu)相似。截至2021年9月24日,已知有一家受害者,勒索運(yùn)營(yíng)者正在與受害談判。受害者是一家總部位于美國(guó)的汽車集團(tuán)。根據(jù)勒索軟件的戰(zhàn)術(shù)、技術(shù)和程序(TTPs),這些運(yùn)營(yíng)人員看起來(lái)至少與其他現(xiàn)有的勒索軟件即服務(wù)(RaaS)組織非常熟悉。

  針對(duì)Windows系統(tǒng),“巨像”勒索軟件被用來(lái)攻擊美國(guó)的一個(gè)汽車經(jīng)銷商集團(tuán),其勒索軟件運(yùn)營(yíng)者威脅要泄露200GB被盜數(shù)據(jù)。

  這些網(wǎng)絡(luò)犯罪分子要求支付40萬(wàn)美元以換取解密密鑰,他們已經(jīng)指示受害者通過(guò)一個(gè)自定義域名的“支持頁(yè)面”與他們聯(lián)系。

  zerox的安全研究人員指出,巨像的運(yùn)營(yíng)人員似乎很熟悉現(xiàn)有的勒索軟件即服務(wù)(RaaS)組織,甚至可能與其中一個(gè)組織有直接聯(lián)系。

  運(yùn)營(yíng)者于9月19日通過(guò)Tucows注冊(cè)了支持門(mén)戶網(wǎng)站的域名,并使用dnspod作為他們的DNS提供商。

  zerox還沒(méi)有觀察到與Colossus勒索軟件產(chǎn)品或附屬程序相關(guān)的暗網(wǎng)聊天,但這并不意味著該運(yùn)營(yíng)與其他勒索軟件即服務(wù)(RaaS)組織沒(méi)有關(guān)聯(lián)。

  據(jù)Zerox分析,與其他勒索軟件樣本類似,一旦二進(jìn)制文件在目標(biāo)環(huán)境上執(zhí)行,它就開(kāi)始了感染過(guò)程。Colossus的樣本利用PowerShell方便了勒索軟件的感染。然而,勒索軟件運(yùn)營(yíng)者將Themida應(yīng)用程序安裝在了巨像上。Themida是一種用于保護(hù)二進(jìn)制文件的打包程序,它會(huì)在自定義虛擬機(jī)中運(yùn)行應(yīng)用程序之前修改底層代碼,這使得對(duì)二進(jìn)制文件的分析非常困難。在感染階段,勒索軟件將開(kāi)始加密過(guò)程,對(duì)目標(biāo)機(jī)器上的所有文件、文檔和圖像進(jìn)行加密。加密后,受害者將獲得一封包含解密和談判指示的勒索信。操作人員通知受害者訪問(wèn)巨像網(wǎng)站,并通過(guò)提供的電子郵件地址與操作人員聯(lián)系。

  事實(shí)上,Colossus的勒索信與EpsilonRed/BlackCocaine和REvil/Sodinokibi的樣品相似,表明使用了類似的勒索軟件制造者。此外,該網(wǎng)絡(luò)犯罪集團(tuán)還“遵循勒索軟件集團(tuán)消失和重新命名和類似工具集的模式,”研究人員指出。

  (對(duì)比巨像(左)和REvil/Sodinokibi(右)的贖金信息:ZeroFox威脅情報(bào))

  雖然目前還沒(méi)有針對(duì)“巨像”的公開(kāi)勒索軟件網(wǎng)站,但未來(lái)幾周可能會(huì)出現(xiàn)這樣一個(gè)網(wǎng)站,泄露不愿支付贖金的受害者的數(shù)據(jù)。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。