美国当地时间2021年9月24日星期五，zerox威胁情报小组发现了一种名为“巨像”（Colossus）的勒索软件变种，它会影响运行微软Windows操作系统的机器。该勒索有许多功能，包括通过Themida二进制打包和沙箱逃避功能。该勒索软件有一个与受害者建立沟通的支持网站，该网站很可能是在2021年9月20日开通的。该勒索软件与EpsilonRed、BlackCocaine和一些Sodinokibi/REvil勒索软件的勒索信息结构相似。截至2021年9月24日，已知有一家受害者，勒索运营者正在与受害谈判。受害者是一家总部位于美国的汽车集团。根据勒索软件的战术、技术和程序（TTPs），这些运营人员看起来至少与其他现有的勒索软件即服务（RaaS）组织非常熟悉。

　　针对Windows系统，“巨像”勒索软件被用来攻击美国的一个汽车经销商集团，其勒索软件运营者威胁要泄露200GB被盗数据。

　　这些网络犯罪分子要求支付40万美元以换取解密密钥，他们已经指示受害者通过一个自定义域名的“支持页面”与他们联系。

　　zerox的安全研究人员指出，巨像的运营人员似乎很熟悉现有的勒索软件即服务（RaaS）组织，甚至可能与其中一个组织有直接联系。

　　运营者于9月19日通过Tucows注册了支持门户网站的域名，并使用dnspod作为他们的DNS提供商。

　　zerox还没有观察到与Colossus勒索软件产品或附属程序相关的暗网聊天，但这并不意味着该运营与其他勒索软件即服务（RaaS）组织没有关联。

　　据Zerox分析，与其他勒索软件样本类似，一旦二进制文件在目标环境上执行，它就开始了感染过程。Colossus的样本利用PowerShell方便了勒索软件的感染。然而，勒索软件运营者将Themida应用程序安装在了巨像上。Themida是一种用于保护二进制文件的打包程序，它会在自定义虚拟机中运行应用程序之前修改底层代码，这使得对二进制文件的分析非常困难。在感染阶段，勒索软件将开始加密过程，对目标机器上的所有文件、文档和图像进行加密。加密后，受害者将获得一封包含解密和谈判指示的勒索信。操作人员通知受害者访问巨像网站，并通过提供的电子邮件地址与操作人员联系。

　　事实上，Colossus的勒索信与EpsilonRed/BlackCocaine和REvil/Sodinokibi的样品相似，表明使用了类似的勒索软件制造者。此外，该网络犯罪集团还“遵循勒索软件集团消失和重新命名和类似工具集的模式，”研究人员指出。

　　（对比巨像（左）和REvil/Sodinokibi（右）的赎金信息：ZeroFox威胁情报）

　　虽然目前还没有针对“巨像”的公开勒索软件网站，但未来几周可能会出现这样一个网站，泄露不愿支付赎金的受害者的数据。