美國當地時間2021年9月24日星期五，zerox威脅情報小組發現了一種名為“巨像”（Colossus）的勒索軟件變種，它會影響運行微軟Windows操作系統的機器。該勒索有許多功能，包括通過Themida二進制打包和沙箱逃避功能。該勒索軟件有一個與受害者建立溝通的支持網站，該網站很可能是在2021年9月20日開通的。該勒索軟件與EpsilonRed、BlackCocaine和一些Sodinokibi/REvil勒索軟件的勒索信息結構相似。截至2021年9月24日，已知有一家受害者，勒索運營者正在與受害談判。受害者是一家總部位于美國的汽車集團。根據勒索軟件的戰術、技術和程序（TTPs），這些運營人員看起來至少與其他現有的勒索軟件即服務（RaaS）組織非常熟悉。

　　針對Windows系統，“巨像”勒索軟件被用來攻擊美國的一個汽車經銷商集團，其勒索軟件運營者威脅要泄露200GB被盜數據。

　　這些網絡犯罪分子要求支付40萬美元以換取解密密鑰，他們已經指示受害者通過一個自定義域名的“支持頁面”與他們聯系。

　　zerox的安全研究人員指出，巨像的運營人員似乎很熟悉現有的勒索軟件即服務（RaaS）組織，甚至可能與其中一個組織有直接聯系。

　　運營者于9月19日通過Tucows注冊了支持門戶網站的域名，并使用dnspod作為他們的DNS提供商。

　　zerox還沒有觀察到與Colossus勒索軟件產品或附屬程序相關的暗網聊天，但這并不意味著該運營與其他勒索軟件即服務（RaaS）組織沒有關聯。

　　據Zerox分析，與其他勒索軟件樣本類似，一旦二進制文件在目標環境上執行，它就開始了感染過程。Colossus的樣本利用PowerShell方便了勒索軟件的感染。然而，勒索軟件運營者將Themida應用程序安裝在了巨像上。Themida是一種用于保護二進制文件的打包程序，它會在自定義虛擬機中運行應用程序之前修改底層代碼，這使得對二進制文件的分析非常困難。在感染階段，勒索軟件將開始加密過程，對目標機器上的所有文件、文檔和圖像進行加密。加密后，受害者將獲得一封包含解密和談判指示的勒索信。操作人員通知受害者訪問巨像網站，并通過提供的電子郵件地址與操作人員聯系。

　　事實上，Colossus的勒索信與EpsilonRed/BlackCocaine和REvil/Sodinokibi的樣品相似，表明使用了類似的勒索軟件制造者。此外，該網絡犯罪集團還“遵循勒索軟件集團消失和重新命名和類似工具集的模式，”研究人員指出。

　　（對比巨像（左）和REvil/Sodinokibi（右）的贖金信息：ZeroFox威脅情報）

　　雖然目前還沒有針對“巨像”的公開勒索軟件網站，但未來幾周可能會出現這樣一個網站，泄露不愿支付贖金的受害者的數據。