Yeni tanımlanan fidye yazılımı grubu Cephalus, ağlara erişim sağlamak ve güçlü şifreleme saldırıları uygulamak için çalınan Uzak Masaüstü Protokolü (RDP) kimlik bilgilerini kullanarak dünya çapındaki kuruluşlar için önemli bir tehdit olarak ortaya çıktı.
AhnLab araştırmacıları, 2025 yılının Haziran ayı ortasında, grubun uzaktan erişim altyapısındaki güvenlik açıklarından yararlanan kalıcı, mali amaçlı bir tehdit oluşturduğunu gözlemledi.
Tehdit Grubunun Operasyon Modeli
Cephalus, organizasyonları riske atmak için sistematik bir yaklaşım benimseyerek, finansal kazanca özel bir odaklanmayla çalışır.
Grup öncelikli olarak çok faktörlü kimlik doğrulama (MFA) koruması olmadan RDP hizmetleri çalıştıran şirketleri hedef alıyor ve kimlik bilgilerine dayalı saldırılar için ideal bir giriş noktası oluşturuyor.
Adını hatasız bir mızrak kullanan mitolojik figürden alan grubun isimlendirmesi, operasyonel başarı oranlarına olan güvenlerini yansıtıyor.
Cephalus bir ağa girdikten sonra standartlaştırılmış bir saldırı dizisini yürütür: sistemleri ihlal eder, hassas verileri sızdırır ve kurbanın altyapısına şifreleme dağıtır.
Grup, fidye yazılımını belirli hedeflere göre özelleştiriyor ve bu da yüksek düzeyde operasyonel karmaşıklığa işaret ediyor.
Hizmet Olarak Fidye Yazılımı (RaaS) platformu olarak mı çalışacağı yoksa diğer tehdit gruplarıyla mı işbirliği yapacağı belirsizliğini koruyor, ancak bunların koordineli yaklaşımı yerleşik süreçlere işaret ediyor.
Teknik Yetenekler ve Kaçınma Taktikleri
Go’da geliştirilen Cephalus fidye yazılımı türü, algılamayı önlerken şifreleme başarısını en üst düzeye çıkarmak için gelişmiş adli tıp önleme ve kaçırma mekanizmaları içerir.
Kötü amaçlı yazılım, yürütüldükten sonra Windows Defender’ın gerçek zamanlı korumasını kapatır, birim gölge kopyalarını kaldırır ve Veeam ve Microsoft SQL Server gibi kritik hizmetleri sonlandırır.
Fidye yazılımı, AES-CTR simetrik şifrelemesini RSA genel anahtar şifrelemesiyle birleştiren gelişmiş bir şifreleme mimarisi kullanıyor.
Özellikle dikkate değer bir özellik, dinamik analiz araçlarını aldatmak için sahte bir AES anahtarı oluşturmayı, gerçek şifreleme mekanizmasını AhnLab araştırmacılarından ve uç nokta koruma sistemlerinden gizlemeyi içerir.
Cephalus, kurban baskısının agresif taktikleriyle öne çıkıyor. Grup, çalınan bilgileri içeren GoFile depolarına doğrudan bağlantılar sağlayarak fidye notlarına veri sızdırıldığının kanıtını ekliyor.
Kuruluşlar şifrelenmiş veriler ve potansiyel olarak kamuya açık olma gibi ikili bir tehditle karşı karşıya olduğundan, bu gösterim stratejisi kurbanların fidye taleplerine uyumunu önemli ölçüde artırır.
Kuruluşlar, tüm RDP erişim noktalarında çok faktörlü kimlik doğrulamayı uygulamaya öncelik vermeli, güçlü kimlik bilgisi hijyenini uygulamalı ve üretim ağlarından izole edilmiş güvenilir yedekleme sistemleri sağlamalıdır.
Güvenlik ekipleri ayrıca Cephalus etkinliğinin karakteristik göstergelerini izlemeli ve güçlü uç nokta tespit yeteneklerini uygulamalıdır.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
