Pesquisadores de segurança cibernética da Huntress identificaram uma nova variante de ransomware apelidada de Cephalus, implantada em dois incidentes separados, direcionados às organizações sem controles de acesso robustos.
Essa ameaça emergente, que reivindica seu nome da mitologia grega que simboliza tragédia inevitável, aproveita os pontos de extremidade expostos do protocolo de desktop remoto (RDP) como seu vetor de acesso inicial primário, explorando credenciais comprometidas sem autenticação multi-fator (MFA).
Os ataques, observados nos dias 13 e 16 de agosto, envolveram táticas sofisticadas, incluindo exfiltração de dados por meio da plataforma de armazenamento mega nuvem e uma única DLL Sideloading Mecanismo para evitar a detecção.
Cephalus criptografa arquivos com uma extensão .sss e solta notas de resgate denominadas Recuper.txt, pressionando as vítimas, vinculando -se a supostos artigos de notícias sobre violações anteriores.
Esse desenvolvimento alinha com uma tendência mais ampla de famílias de ransomware, como as variantes do Crux e Kawalocker recentemente documentadas, que abusam da mesma forma ferramentas e processos legítimos para se infiltrar em redes.
Os atores de ameaças por trás de Cephalus demonstram uma abordagem calculada, combinando reconhecimento com implantação rápida para maximizar a interrupção antes que os sistemas de detecção e resposta do terminal (EDR) possam intervir.
DLL Sideloading
Uma característica de destaque do Cephalus é sua inovadora cadeia de execução, que explora a DLL de margem por meio de um executável legítimo do SentineLone, SentinelBrowSernativehost.exe.
Nos dois incidentes, os invasores colocaram esse arquivo na pasta de downloads do usuário comprometida e o lançaram sem argumentos da linha de comando, sugerindo uma estratégia de implantação localizada e não em toda a rede.
O executável carrega o SentinelaGentcore.dll, que por sua vez lidera um arquivo de dados.bin que contém o núcleo carga útil de ransomware.
Esse método se disfarça efetivamente de atividade maliciosa dentro de processos confiáveis, complicando a análise comportamental por ferramentas EDR.
Antes da criptografia, o Cephalus executa uma série de comandos incorporados para desmantelar as opções de recuperação do sistema, começando com o VSSADmin excluir sombras /all /silencioso para apagar cópias de sombra de volume.
Segue-se com várias invocações do PowerShell para adicionar exclusões de Defender do Windows para caminhos como C: Windows Temp e extensões como .cache, .tmp, .dat e .sss, além de desativar o monitoramento em tempo real via set-mppeference -DisableRealtimensonitoring $ true.
Modificações de registro usando as defesas do Reg.exe prejudicam as chaves definindo as chaves como HKLM Software Políticas Microsoft Windows Defender Protection em tempo real DisableRealTimemonitoring para 1, neutralizando efetivamente as capacidades de antivírus.
Serviços como Windefend, WDNISSVC, SecurityHealthService e Sense são parados e configurados para os tipos de inicialização desativados por meio de comandos adicionais do PowerShell.
Em um incidente, o Microsoft Defender detectou e em quarentena a carga útil, impedindo a criptografia completa, mas o outro resultou em bloqueio de arquivo bem -sucedido.
A exfiltração de dados foi evidente via MEGA, com processos como o megacmdupdater.exe lançados diretamente ou como tarefas programadas, copiando arquivos sensíveis para repositórios remotos.
Essa fase ExFIL, geralmente precede a ativação do ransomware, ressalta o modelo de extorsão dupla em que os dados roubados ampliam a alavancagem durante as negociações.
Implicações mais amplas para o cenário de ameaças
Cephalus Ransom Notas Diviam de modelos genéricos incorporando elementos personalizados, como abordar diretamente o domínio da vítima e incorporar links para artigos em sites como InsecureWeb e Darkwebinformer detalhando as alegadas violações de dados anteriores de julho e agosto de 2025.
Essas notas afirmam roubo de dados e fornecem links gofile.io com senhas para verificação da amostra, com o objetivo de incutir urgência e credibilidade.
O uso dos atores de ameaças do RDP destaca vulnerabilidades persistentes em configurações de acesso remoto, especialmente em ambientes sem MFA ou segmentação de rede.
Embora não foram confirmadas afiliações diretas a grupos estabelecidos de ransomware como serviço (RAAS) como o Blackbyte, as táticas refletem os incidentes de ponto crucial, incluindo abuso de binários legítimos como svchost.exe e bcdedit.exe para sabotagem de recuperação.
As organizações que executam soluções SentineLone ou EDR similares devem monitorar execuções anômalas em caminhos fora do padrão, como pastas de download de usuários, e realizar auditorias regulares de exposições de RDP.
À medida que o ransomware evolui com evasão orientada por IA e exfiltração baseada em nuvem, medidas proativas, como acesso de menor privilégio, monitoramento comportamental e patches oportunos, permanecem críticos para mitigar essas ameaças.
A análise de Huntress enfatiza o valor da caça às ameaças na identificação de indicadores de pré-criptografia, potencialmente evitando incidentes em escala completa.
Indicador de compromissos (IOCs)
| Indicador | Descrição | SHA256 (se aplicável) |
|---|---|---|
| Desktop-uabs01 | Estação de trabalho do ator de ameaças | N / D |
| .sss | Extensão de arquivo criptografado | N / D |
| recuper.txt | Ransom Note FileName | N / D |
| SentinelBrowSernativehost.exe | SentineLone Executável usado para DLL Sideloading | 0D9DFC113712054D8595B50975EFD9C68F4CB8960ECA010076B46D2FBA3D2754 |
| Sentinelagentcore.dll | DLL carregado para iniciar ransomware | 82F5FB086D15A8079C79275C2D4A6152934E2DD61CC6A4976B492F74062773A7 |
| data.bin | Arquivo contendo código de ransomware | N / D |
| C: Usuários $$ usuário] Downloads | Pasta de operações de ator de ameaças | N / D |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!