Siber güvenlik tehdit ortamında, ele geçirilen Uzak Masaüstü Protokolü (RDP) hesapları aracılığıyla kuruluşları hedef alan yeni bir fidye yazılımı grubu Cephalus ortaya çıktı.
İlk olarak Haziran 2025’in ortasında tespit edilen bu grup, uzaktan erişim sistemlerinde uygun güvenlik önlemlerini uygulamayan işletmeler için giderek büyüyen bir tehdit oluşturuyor.
Cephalus Nasıl Çalışır?
Cephalus fidye yazılımı grubu, çok faktörlü kimlik doğrulaması (MFA) bulunmayan RDP hesaplarından kimlik bilgilerinin çalınmasıyla başlayan karmaşık bir saldırı stratejisi kullanıyor.
Tehdit aktörleri, kurbanın ağına girdikten sonra belirli kuruluşları hedef almak üzere tasarlanmış özelleştirilmiş fidye yazılımlarını dağıtırlar.
Saldırı zincirleri, sistemi ihlal etmeyi, hassas verileri çalmayı ve ardından kurbanlar üzerindeki baskıyı en üst düzeye çıkarmak için şifrelemeyi içeriyor.
Grup, tamamen finansal kazanç amacıyla hareket ettiklerini açıkça belirtti ve bu da onları tamamen kâr odaklı bir siber suç operasyonu haline getiriyor.
Cephalus’u diğer fidye yazılımı gruplarından ayıran şey, her kurbana özel yaklaşımıdır. Genel fidye yazılımı çeşitlerini kullanmak yerine, kötü amaçlı yazılımlarını belirli hedeflere göre özelleştirerek başarı oranlarını potansiyel olarak artırıyorlar.
Grup adını Yunan mitolojisinden alıyor Cephalus, tanrıça Artemis’ten grubun saldırı etkinliğine olan güvenini simgeleyen “hatasız” bir mızrak alan bir karakterdi.
Kurbanların ele geçirildiği durumlarda Cephalus, fidye notlarında onların varlığını açıkça duyuruyor ve psikolojik baskıyı artırmak için önceki başarılı saldırılara atıfta bulunuyor.
Çalınan bilgileri içeren GoFile depolarına bağlantılar sağlayarak veri ihlallerini kanıtlıyorlar ve şifreleme gerçekleşmeden önce hassas verileri zaten sızdırdıklarını gösteriyorlar.
Teknik Yetenekler
Go’da yerleşik Cephalus fidye yazılımı, gelişmiş kaçırma ve şifreleme teknikleri kullanır. Yürütülmesinin ardından Windows Defender’ın gerçek zamanlı korumasını anında kapatır ve kolay kurtarmayı önlemek için Birim Gölge Kopyası Hizmeti (VSS) yedeklemelerini siler.
Kötü amaçlı yazılım ayrıca Veeam yedekleme yazılımı ve Microsoft SQL Server veritabanları gibi kritik hizmetleri de sonlandırarak şifreleme başarısını en üst düzeye çıkarırken kurban kurtarma seçeneklerini en aza indirir.
Fidye yazılımı, tüm dosyalar için tek bir anahtarla AES-CTR şifrelemesi kullanıyor ve bu da anahtar yönetimini operasyonu açısından çok önemli hale getiriyor.
Bu anahtarı güvenlik analistlerinden gizlemek için Cephalus, yürütme sırasında sahte AES anahtarları oluşturur; 1.024 baytlık bir arabellek oluşturur ve “FAKE_AES_KEY_FOR_CONFUSION_ONLY!” dizesini sürekli olarak bunun üzerine yazar. Bu teknik, bellek işlemlerini izleyen dinamik analiz araçlarını bozar.
Gerçek şifreleme anahtarının keşfedilmesini önlemek amacıyla Cephalus, anahtar depolamayı güvenli bir şekilde yönetmek için bir SecureMemory yapısı uygular.
Anahtarı bellekte kilitlemek için Windows API işlevlerini kullanır ve sayfa çıkış işlemleri yoluyla anahtarın diske yazılmasını engeller.
Ek olarak, anahtar depolamadan önce rastgele bir değerle XORlanır, böylece bellek dökümlerinin bile gerçek şifreleme anahtarını düz metin olarak ortaya çıkarmayacağı garanti edilir.
Güvenlik araştırmacıları, Cephalus’un diğer fidye yazılımı gruplarıyla potansiyel bağlantıları veya Hizmet Olarak Fidye Yazılımı (RaaS) olarak çalışıp çalışmadığı hakkında sınırlı bilgiye sahiptir.
Önceki operasyonlardan yeniden markalaşma veya kendi bünyesinde alt grupların varlığına dair herhangi bir kanıt ortaya çıkmamıştır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.