Cephalus として知られる高度なランサムウェア攻撃が、2025年半ば以降、重大なサイバーセキュリティ脅威として出現しており、公開されたリモートデスクトッププロトコル(RDP)サービスを悪用して世界中の組織に侵入しています。
Go プログラミング言語で開発されたこのマルウェアは、金銭目的の攻撃者がダブル恐喝戦術を活用して被害者への圧力を最大化する傾向の高まりを表しています。
Cephalus オペレーターは主に、多要素認証(MFA)が欠如している公開された RDP サービスを通じて初期アクセスを取得し、多くの場合、さまざまな手段で入手した盗難認証情報を利用します。
このアプローチにより、攻撃者は正規ユーザーとして見えるようにネットワークに侵入でき、即座の検出リスクを軽減します。初期の被害者活動は2025年6月に遡り、研究者が複数のインシデントを文書化した2025年8月に公開報告が浮上しました。
Cephalus ランサムウェア
このランサムウェアは Windows 環境のみを標的とし、ファイル暗号化に AES-256 CTR モードを使用し、キー保護に RSA-1024 を使用するハイブリッド暗号化スキームを採用しています。
Cephalus ランサムウェアは、VirtualAlloc および VirtualProtect API を使用してプロセスインジェクションを通じて展開され、正規プロセス内でペイロードを実行します。
2026年2月、AttackIQ は Cephalus ランサムウェアの戦術、技術、手順(TTP)をエミュレートする包括的な攻撃グラフをリリースしました。
検出を回避するため、Cephalus は、偽の AES キー生成、安全なメモリ処理、SentinelOne の SentinelBrowserNativeHost.exe などの正規実行ファイルを使用した DLL サイドローディングなど、複数の分析対策技術を組み込んでいます。
暗号化が始まる前に、Cephalus は PowerShell コマンドとレジストリ変更を通じてWindows Defender のリアルタイム保護をオフにすることで、ホストの防御を体系的に弱体化させます。
このグループは、身代金の支払いを拒否する被害者への恐喝圧力を強めるため、専用のリークサイトで盗まれたデータの証拠を公開します。
防御措置を無力化するこの包括的なアプローチは、暗号化の成功率を大幅に高め、インシデント対応の取り組みを妨げます。
ダブル恐喝モデル
ダブル恐喝フレームワークの下で運用される Cephalus オペレーターは、暗号化前に機密データを流出させ、MEGA などのクラウドストレージプラットフォームをデータのステージングに使用します。
このマルウェアは、Veeam やMicrosoft SQL Server などの重要なバックアップおよびデータベースサービスを終了し、ボリュームシャドウコピーを削除してファイルの回復を防ぎます。
このグループは、身代金の支払いを拒否する被害者への恐喝圧力を強めるため、専用のリークサイトで盗まれたデータの証拠を公開します。
この二重の脅威により、組織は暗号化による運用中断とデータ露出による潜在的な規制上の影響の両方を考慮せざるを得なくなります。
Huntress および AhnLab の調査に基づくこのエミュレーションにより、セキュリティチームは AttackIQ Adversarial Exposure Validation Platform を使用して、この脅威に対する防御管理を検証できます。
組織は、検出機能を評価し、セキュリティ管理のパフォーマンスを評価し、Cephalus のような日和見的なランサムウェアグループが示す挙動に対して予防パイプラインを継続的に検証できます。
セキュリティ専門家は、組織がインターネットから直接的な RDP 露出を即座に削除し、すべてのリモートアクセスに MFA を実装し、定期的にバックアップの整合性を検証し、認証情報の侵害をランサムウェアの潜在的な前兆として扱うことを推奨しています。
翻訳元: https://gbhackers.com/cephalus-ransomware/
