Một nhóm ransomware Cephalus mới đã xuất hiện trong bối cảnh mối đe dọa an ninh mạng, nhắm mục tiêu vào các tổ chức thông qua các tài khoản Giao thức Máy tính Từ xa (RDP) bị xâm nhập. Lần đầu tiên được phát hiện vào giữa tháng 6 năm 2025, nhóm này đại diện cho một mối đe dọa ngày càng tăng đối với các doanh nghiệp chưa triển khai các biện pháp bảo mật phù hợp trên hệ thống truy cập từ xa của họ.

Chiến lược Tấn công và Mục tiêu của Cephalus

Nhóm ransomware Cephalus triển khai một chiến lược tấn công tinh vi. Nó khởi đầu bằng việc đánh cắp thông tin xác thực từ các tài khoản RDP thiếu xác thực đa yếu tố (MFA).

Sự thiếu sót trong bảo mật RDP, đặc biệt là việc không sử dụng MFA hoặc mật khẩu yếu, tạo điều kiện thuận lợi cho các tác nhân đe dọa xâm nhập ban đầu vào mạng mục tiêu.

Một khi đã xâm nhập thành công vào mạng của nạn nhân, các tác nhân đe dọa sẽ triển khai phần mềm tống tiền tùy chỉnh. Mã độc này được thiết kế để nhắm mục tiêu vào các tổ chức cụ thể, cho thấy một mức độ chuẩn bị và trinh sát nhất định.

Chuỗi tấn công của ransomware Cephalus bao gồm ba giai đoạn chính: xâm nhập hệ thống, đánh cắp dữ liệu nhạy cảm, và sau đó mã hóa dữ liệu. Việc đánh cắp dữ liệu trước khi mã hóa nhằm mục đích gây áp lực tối đa, thực hiện chiến thuật tống tiền kép.

Nhóm này đã công khai tuyên bố rằng động cơ của họ hoàn toàn là lợi ích tài chính, định vị họ là một hoạt động tội phạm mạng thuần túy vì lợi nhuận. Điều này làm tăng nguy cơ cho bất kỳ tổ chức nào có tiềm năng tạo ra lợi nhuận cho nhóm.

Điểm khác biệt của ransomware Cephalus so với các nhóm ransomware khác là cách tiếp cận được tùy chỉnh cho từng nạn nhân. Thay vì sử dụng các biến thể ransomware chung chung, chúng tùy chỉnh phần mềm độc hại của mình cho các mục tiêu cụ thể, một chiến thuật có khả năng tăng tỷ lệ thành công của cuộc tấn công.

Tên gọi “Cephalus” được lấy cảm hứng từ thần thoại Hy Lạp, nơi Cephalus được ban cho một cây giáo “không bao giờ trượt”. Biểu tượng này phản ánh sự tự tin của nhóm vào hiệu quả của các cuộc tấn công và khả năng đạt được mục tiêu.

Trong các ghi chú đòi tiền chuộc, Cephalus công khai thông báo về sự hiện diện của mình và thường tham chiếu các cuộc tấn công thành công trước đó. Điều này nhằm mục đích tăng áp lực tâm lý, khiến nạn nhân tin vào khả năng của nhóm và tăng khả năng chi trả tiền chuộc.

Để chứng minh rằng dữ liệu đã bị rò rỉ, chúng cung cấp các liên kết đến các kho lưu trữ GoFile chứa thông tin bị đánh cắp. Hành động này không chỉ xác nhận việc đánh cắp dữ liệu mà còn nhấn mạnh rằng dữ liệu nhạy cảm đã được đánh cắp và đưa ra ngoài mạng trước khi quá trình mã hóa xảy ra.

Cơ chế Hoạt động của mã độc tống tiền Cephalus

Xâm nhập Ban đầu và Khai thác RDP

Quá trình tấn công của ransomware Cephalus bắt đầu với việc giành quyền truy cập vào các tài khoản RDP bị xâm nhập. Các hệ thống RDP không được bảo vệ đầy đủ, đặc biệt là thiếu MFA, là điểm yếu chính mà nhóm này khai thác.

Việc chiếm quyền điều khiển RDP cho phép kẻ tấn công có quyền truy cập trực tiếp vào môi trường máy chủ hoặc máy trạm của nạn nhân, là bước đệm để di chuyển ngang và triển khai mã độc.

Để hiểu rõ hơn về các biện pháp phòng ngừa tấn công RDP, có thể tham khảo CISA Alert AA20-073A về Bảo mật RDP.

Vô hiệu hóa Hệ thống Phòng thủ và Sao lưu

Được xây dựng bằng ngôn ngữ Go, ransomware Cephalus sử dụng các kỹ thuật né tránh và mã hóa tiên tiến nhằm tối đa hóa tác động của cuộc tấn công. Khi thực thi trên hệ thống mục tiêu, nó ngay lập tức thực hiện các hành động sau:

• Tắt tính năng bảo vệ thời gian thực của Windows Defender, loại bỏ một lớp phòng thủ quan trọng.
• Xóa các bản sao lưu Dịch vụ Sao chép Khối lượng (VSS). Việc này ngăn chặn nạn nhân phục hồi hệ thống và dữ liệu một cách dễ dàng từ các bản sao lưu cục bộ.
• Chấm dứt các dịch vụ quan trọng như phần mềm sao lưu Veeam và cơ sở dữ liệu Microsoft SQL Server. Hành động này không chỉ phá vỡ các quy trình kinh doanh thiết yếu mà còn đảm bảo rằng các tệp được giữ bởi các dịch vụ này cũng có thể bị mã hóa, tối đa hóa thành công mã hóa.

Các lệnh minh họa cho hành vi trên có thể bao gồm (tùy thuộc vào phiên bản và cấu hình hệ thống):

taskkill /f /im MsMpEng.exe  <-- Tắt tiến trình Windows Defender
vssadmin delete shadows /all /quiet <-- Xóa tất cả Volume Shadow Copies
net stop "Veeam Backup & Replication Service" <-- Dừng dịch vụ Veeam
net stop "SQL Server (MSSQLSERVER)" <-- Dừng dịch vụ SQL Server

(Lưu ý: Các lệnh CLI trên là ví dụ minh họa dựa trên mô tả hành vi chung của ransomware, không phải mã khai thác thực tế của Cephalus. Tên dịch vụ có thể khác nhau.)

Kỹ thuật mã hóa và Che giấu Khóa Tinh vi

Ransomware Cephalus sử dụng thuật toán mã hóa AES-CTR. Điều này được áp dụng với một khóa duy nhất cho tất cả các tệp, khiến việc quản lý và bảo vệ khóa này trở nên cực kỳ quan trọng đối với hoạt động của mã độc.

Để ngăn chặn các nhà phân tích bảo mật khám phá khóa mã hóa thực sự, Cephalus triển khai một số kỹ thuật che giấu tinh vi:

Đầu tiên, nó tạo ra các khóa AES giả trong quá trình thực thi. Mã độc tạo một bộ đệm 1.024 byte và liên tục ghi đè lên đó bằng chuỗi “FAKE_AES_KEY_FOR_CONFUSION_ONLY!“. Kỹ thuật này được thiết kế để gây nhầm lẫn cho các công cụ phân tích động (dynamic analysis tools) theo dõi các hoạt động bộ nhớ, làm lệch hướng khỏi vị trí khóa thực.

// Mã giả minh họa việc tạo và ghi đè khóa giả
function GenerateFakeKeyBuffer() {
    buffer = allocate_memory(1024); // Phân bổ 1KB bộ nhớ
    for (i = 0; i < some_large_number_of_iterations; i++) {
        write_to_memory(buffer, "FAKE_AES_KEY_FOR_CONFUSION_ONLY!");
    }
    return buffer;
}

Thứ hai, để đảm bảo khóa mã hóa thực sự không bị lộ, ransomware Cephalus triển khai một cấu trúc SecureMemory. Cấu trúc này được thiết kế để quản lý việc lưu trữ khóa một cách an toàn và bảo mật.

Nó sử dụng các hàm API của Windows để khóa khóa trong bộ nhớ, ngăn nó bị ghi vào đĩa thông qua các hoạt động phân trang (paging operations). Điều này có nghĩa là khóa sẽ không được ghi vào tệp hoán đổi (swap file) trên ổ đĩa, làm tăng khó khăn cho việc phục hồi khóa từ dữ liệu trên đĩa.

Thêm vào đó, trước khi được lưu trữ, khóa được XOR với một giá trị ngẫu nhiên. Kỹ thuật này đảm bảo rằng ngay cả khi có bản ghi nhớ hệ thống (memory dump) được tạo ra, khóa mã hóa thực tế cũng sẽ không được tiết lộ ở dạng văn bản rõ ràng, mà chỉ là kết quả của phép XOR.

Tình hình Hiện tại và Những điểm chưa biết về Cephalus

Các nhà nghiên cứu bảo mật từ ASEC hiện có thông tin hạn chế về các mối liên hệ tiềm năng của ransomware Cephalus với các nhóm ransomware khác hoặc liệu nó có hoạt động dưới dạng Ransomware-as-a-Service (RaaS) hay không.

Cho đến nay, chưa có bằng chứng nào xuất hiện liên quan đến việc nhóm này là phiên bản đổi tên (rebranding) từ các hoạt động trước đó hoặc sự tồn tại của các nhóm phụ trong tổ chức của chúng. Điều này cho thấy Cephalus có thể là một thực thể tương đối mới hoặc hoạt động dưới một mô hình độc lập.

Việc tiếp tục giám sát và phân tích sâu rộng đối với ransomware Cephalus là cần thiết để hiểu rõ hơn về phạm vi, chiến thuật và tác động lâu dài của mối đe dọa mới này đối với bối cảnh an ninh mạng toàn cầu.