Cephalus Ransomware: بهره‌برداری از اعتبارنامه‌های RDP برای حمله 

گروه باج‌افزاری تازه شناسایی شده‌ای به نام Cephalus به عنوان یک تهدید جدی مطرح شده است. این گروه با سوءاستفاده از اعتبارنامه‌های سرقت رفته Remote Desktop Protocol (RDP)، به شبکه‌های سازمانی نفوذ کرده و حملات رمزگذاری قدرتمندی را اجرا می‌کند. این گروه، که نام خود را از یک شخصیت افسانه‌ای یونانی گرفته است، بر روی شبکه‌هایی تمرکز دارد که سرویس‌های RDP آن‌ها فاقد احراز هویت چند عاملی (MFA) هستند.

---

روش عملیاتی و فنی (TTPs)

عملیات Cephalus با انگیزه مالی دنبال می‌شود و یک چرخه حمله استاندارد را دنبال می‌کند که بر زیرساخت‌های دسترسی از راه دور ناامن متکی است:

• بردار نفوذ اولیه: اعتبارنامه‌های RDP سرقت شده. این گروه سیستم‌هایی را هدف قرار می‌دهد که RDP آن‌ها بدون MFA در معرض دید عموم قرار دارد و یک نقطه ورود ایده‌آل ایجاد می‌کند.

• زنجیره حمله: پس از نفوذ، Cephalus یک دنباله استاندارد شامل نفوذ به سیستم‌ها، استخراج داده‌های حساس (Exfiltration) و در نهایت توزیع و اجرای باج‌افزار در سراسر زیرساخت قربانی را اجرا می‌کند.

• بدافزار اختصاصی: باج‌افزار Cephalus با زبان Go توسعه داده شده و از مکانیزم‌های پیشرفته ضد-تحلیل (anti-forensics) برای فرار از شناسایی استفاده می‌کند.

• تکنیک‌های پنهان‌کاری: بدافزار پس از اجرا، محافظت بلادرنگ Windows Defender را غیرفعال می‌کند، Volume Shadow Copies را حذف می‌کند و سرویس‌های حیاتی مانند Veeam و Microsoft SQL Server را متوقف می‌سازد.

• رمزگذاری پیشرفته: از ترکیب رمزگذاری متقارن AES-CTR با رمزنگاری کلید عمومی RSA استفاده می‌کند. نکته جالب توجه، تولید یک کلید AES جعلی است که ابزارهای تحلیل دینامیک (Dynamic Analysis) را فریب می‌دهد و مکانیزم رمزگذاری واقعی را پنهان می‌سازد.

---

تاکتیک‌های فشار و باج‌گیری

Cephalus با تکیه بر استراتژی باج‌گیری مضاعف، فشار زیادی را بر قربانیان وارد می‌کند:

• اثبات نشت داده: این گروه برای افزایش احتمال دریافت باج، لینک‌هایی مستقیم به مخازن GoFile حاوی داده‌های سرقت شده را در یادداشت باج‌خواهی (Ransom Note) ارائه می‌دهد. این استراتژی دوگانه (رمزگذاری داده‌ها و تهدید به افشای عمومی) انطباق سازمان‌ها با خواسته‌های باج‌گیر را به طور قابل توجهی افزایش می‌دهد.

---

توصیه‌های دفاعی و پیشگیری

برای محافظت در برابر حملات Cephalus و سایر گروه‌هایی که RDP را هدف قرار می‌دهند، سازمان‌ها باید فوراً اقدامات زیر را در اولویت قرار دهند:

1. احراز هویت چند عاملی (MFA): فعال‌سازی و اجباری کردن MFA در تمامی نقاط دسترسی RDP برای مسدود کردن ورود با اعتبارنامه‌های سرقت شده.

2. بهداشت اعتبارنامه: اعمال سیاست‌های قوی برای گذرواژه‌ها و اطمینان از بهداشت مناسب اعتبارنامه‌ها.

3. پشتیبان‌گیری ایزوله‌شده: نگهداری سیستم‌های پشتیبان‌گیری (Backups) به صورت ایزوله‌شده از شبکه‌های تولیدی (Offline یا Immutable Backups) تا در صورت حمله باج‌افزاری، مهاجم نتواند آن‌ها را نیز رمزگذاری یا حذف کند.

4. نظارت بر Endpoint: پیاده‌سازی قابلیت‌های تشخیص قوی در نقاط پایانی برای نظارت بر شاخص‌های فعالیت Cephalus (IoCs) و مسدود کردن فرآیندهای مربوط به آن.