Colossus勒索软件攻击了美国一家汽车公司-





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

医疗机构注意！五部门联发新规：商用密码、分类分级成为数据保护关键词

2026-04-09

用AI重新定义数据安全监测，让数据安全变简单

2026-03-17

金融机构数据安全能力体系建设与落地实践

2026-02-27

开工大吉｜策马扬鞭，跃启新程！

2026-02-25

浙江省委宣传部副部长、省委网信办主任赵磊：守正创新辩证施策全力推动网络生态治理工作迈上新台阶

2026-02-10

医疗机构注意！五部门联发新规：商用密码、分类分级成为数据保护关键词

2026-04-09

中央网信办、工业和信息化部、公安部关于开展2026年个人信息保护系列专项行动的公告

2026-04-03

全国网络安全标准化技术委员会2026年第一次“标准周”活动在珠海举办

2026-04-02

OpenClaw，医院的下一个AI爆款？

2026-03-26

OWASP GenAI 2026数据安全风险解析

2026-03-25

Colossus勒索软件攻击了美国一家汽车公司

发布时间：2021-09-30 阅读次数： 477 次

美国当地时间2021年9月24日星期五，zerox威胁情报小组发现了一种名为“巨像”(Colossus)的勒索软件变种，它会影响运行微软Windows操作系统的机器。该勒索有许多功能，包括通过Themida二进制打包和沙箱逃避功能。

该勒索软件有一个与受害者建立沟通的支持网站，该网站很可能是在2021年9月20日开通的。该勒索软件与EpsilonRed、BlackCocaine和一些Sodinokibi/REvil勒索软件的勒索信息结构相似。截至2021年9月24日，已知有一家受害者，勒索运营者正在与受害谈判。受害者是一家总部位于美国的汽车集团。根据勒索软件的战术、技术和程序(TTPs)，这些运营人员看起来至少与其他现有的勒索软件即服务(RaaS)组织非常熟悉。

针对Windows系统，“巨像”勒索软件被用来攻击美国的一个汽车经销商集团，其勒索软件运营者威胁要泄露200GB被盗数据。

这些网络犯罪分子要求支付40万美元以换取解密密钥，他们已经指示受害者通过一个自定义域名的“支持页面”与他们联系。

zerox的安全研究人员指出，巨像的运营人员似乎很熟悉现有的勒索软件即服务(RaaS)组织，甚至可能与其中一个组织有直接联系。

运营者于9月19日通过Tucows注册了支持门户网站的域名，并使用dnspod作为他们的DNS提供商。

zerox还没有观察到与Colossus勒索软件产品或附属程序相关的暗网聊天，但这并不意味着该运营与其他勒索软件即服务(RaaS)组织没有关联。

据Zerox分析，与其他勒索软件样本类似，一旦二进制文件在目标环境上执行，它就开始了感染过程。Colossus的样本利用PowerShell方便了勒索软件的感染。然而，勒索软件运营者将Themida应用程序安装在了巨像上。Themida是一种用于保护二进制文件的打包程序，它会在自定义虚拟机中运行应用程序之前修改底层代码，这使得对二进制文件的分析非常困难。在感染阶段，勒索软件将开始加密过程，对目标机器上的所有文件、文档和图像进行加密。加密后，受害者将获得一封包含解密和谈判指示的勒索信。操作人员通知受害者访问巨像网站，并通过提供的电子邮件地址与操作人员联系。

事实上，Colossus的勒索信与EpsilonRed/BlackCocaine和REvil/Sodinokibi的样品相似，表明使用了类似的勒索软件制造者。此外，该网络犯罪集团还“遵循勒索软件集团消失和重新命名和类似工具集的模式，”研究人员指出。