《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > Colossus勒索软件攻击了美国一家汽车公司

Colossus勒索软件攻击了美国一家汽车公司

2021-09-29
来源:网空闲话
关键词: 勒索软件 汽车公司

  美国当地时间2021年9月24日星期五,zerox威胁情报小组发现了一种名为“巨像”(Colossus)的勒索软件变种,它会影响运行微软Windows操作系统的机器。该勒索有许多功能,包括通过Themida二进制打包和沙箱逃避功能。该勒索软件有一个与受害者建立沟通的支持网站,该网站很可能是在2021年9月20日开通的。该勒索软件与EpsilonRed、BlackCocaine和一些Sodinokibi/REvil勒索软件的勒索信息结构相似。截至2021年9月24日,已知有一家受害者,勒索运营者正在与受害谈判。受害者是一家总部位于美国的汽车集团。根据勒索软件的战术、技术和程序(TTPs),这些运营人员看起来至少与其他现有的勒索软件即服务(RaaS)组织非常熟悉。

  针对Windows系统,“巨像”勒索软件被用来攻击美国的一个汽车经销商集团,其勒索软件运营者威胁要泄露200GB被盗数据。

  这些网络犯罪分子要求支付40万美元以换取解密密钥,他们已经指示受害者通过一个自定义域名的“支持页面”与他们联系。

  zerox的安全研究人员指出,巨像的运营人员似乎很熟悉现有的勒索软件即服务(RaaS)组织,甚至可能与其中一个组织有直接联系。

  运营者于9月19日通过Tucows注册了支持门户网站的域名,并使用dnspod作为他们的DNS提供商。

  zerox还没有观察到与Colossus勒索软件产品或附属程序相关的暗网聊天,但这并不意味着该运营与其他勒索软件即服务(RaaS)组织没有关联。

  据Zerox分析,与其他勒索软件样本类似,一旦二进制文件在目标环境上执行,它就开始了感染过程。Colossus的样本利用PowerShell方便了勒索软件的感染。然而,勒索软件运营者将Themida应用程序安装在了巨像上。Themida是一种用于保护二进制文件的打包程序,它会在自定义虚拟机中运行应用程序之前修改底层代码,这使得对二进制文件的分析非常困难。在感染阶段,勒索软件将开始加密过程,对目标机器上的所有文件、文档和图像进行加密。加密后,受害者将获得一封包含解密和谈判指示的勒索信。操作人员通知受害者访问巨像网站,并通过提供的电子邮件地址与操作人员联系。

  事实上,Colossus的勒索信与EpsilonRed/BlackCocaine和REvil/Sodinokibi的样品相似,表明使用了类似的勒索软件制造者。此外,该网络犯罪集团还“遵循勒索软件集团消失和重新命名和类似工具集的模式,”研究人员指出。

  (对比巨像(左)和REvil/Sodinokibi(右)的赎金信息:ZeroFox威胁情报)

  虽然目前还没有针对“巨像”的公开勒索软件网站,但未来几周可能会出现这样一个网站,泄露不愿支付赎金的受害者的数据。




电子技术图片.png

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。