Các nhà nghiên cứu an ninh mạng tại Huntress đã phát hiện một biến thể ransomware mới có tên Cephalus. Mã độc này đã được triển khai trong hai sự cố riêng biệt, nhắm mục tiêu vào các tổ chức thiếu kiểm soát truy cập mạnh mẽ. Cephalus tận dụng các điểm cuối Remote Desktop Protocol (RDP) bị lộ làm vector truy cập ban đầu chính, khai thác thông tin đăng nhập bị đánh cắp mà không có xác thực đa yếu tố (MFA).

Các cuộc tấn công, được quan sát vào ngày 13 và 16 tháng 8, đã sử dụng các chiến thuật tinh vi. Chúng bao gồm việc trích xuất dữ liệu qua nền tảng lưu trữ đám mây MEGA và một cơ chế DLL sideloading độc đáo để né tránh phát hiện. Cephalus mã hóa các tệp với phần mở rộng .sss và thả các ghi chú đòi tiền chuộc có tên recover.txt. Mã độc này gây áp lực lên nạn nhân bằng cách liên kết đến các bài báo tin tức giả mạo về các vụ vi phạm trước đó.

Sự phát triển của Cephalus phù hợp với xu hướng chung của các họ mã độc ransomware khác, như các biến thể Crux và KawaLocker mới được ghi nhận. Các mã độc này cũng lạm dụng các công cụ và quy trình hợp pháp để xâm nhập mạng. Các tác nhân đe dọa đằng sau Cephalus thể hiện một cách tiếp cận có tính toán, kết hợp trinh sát với triển khai nhanh chóng để tối đa hóa sự gián đoạn trước khi các hệ thống phát hiện và phản hồi điểm cuối (EDR) có thể can thiệp.

Kỹ thuật Khai thác Độc đáo: DLL Sideloading

Một tính năng nổi bật của mã độc ransomware Cephalus là chuỗi thực thi đổi mới của nó. Cephalus khai thác DLL sideloading thông qua một tệp thực thi hợp pháp của SentinelOne, cụ thể là SentinelBrowserNativeHost.exe.

Trong cả hai sự cố, những kẻ tấn công đã đặt tệp này vào thư mục Downloads của người dùng bị xâm nhập và khởi chạy nó mà không có đối số dòng lệnh. Điều này cho thấy một chiến lược triển khai cục bộ thay vì triển khai rộng khắp mạng. Tệp thực thi sau đó tải SentinelAgentCore.dll, đến lượt nó lại sideload một tệp data.bin chứa payload ransomware cốt lõi. Phương pháp này che giấu hiệu quả hoạt động độc hại bên trong các quy trình đáng tin cậy, làm phức tạp việc phân tích hành vi của các công cụ EDR.

Vô hiệu hóa Hệ thống Phòng thủ và Khôi phục

Trước khi mã hóa, mã độc ransomware Cephalus thực thi một loạt các lệnh nhúng để phá vỡ các tùy chọn khôi phục hệ thống. Mã độc bắt đầu bằng lệnh vssadmin delete shadows /all /quiet để xóa Volume Shadow Copies.

Tiếp theo là nhiều lệnh PowerShell để thêm các loại trừ cho Windows Defender. Các loại trừ này bao gồm các đường dẫn như C:WindowsTemp và các phần mở rộng như .cache, .tmp, .dat, và .sss. Đồng thời, mã độc cũng vô hiệu hóa giám sát thời gian thực thông qua lệnh Set-MpPreference -DisableRealtimeMonitoring $true.

Các sửa đổi Registry sử dụng reg.exe tiếp tục làm tê liệt hệ thống phòng thủ bằng cách đặt các khóa như HKLMSOFTWAREPoliciesMicrosoftWindows DefenderReal-Time ProtectionDisableRealtimeMonitoring thành 1, vô hiệu hóa hiệu quả các khả năng chống vi-rút. Các dịch vụ bao gồm WinDefend, WdNisSvc, SecurityHealthService và Sense bị dừng và đặt thành loại khởi động bị vô hiệu hóa thông qua các lệnh PowerShell bổ sung.

vssadmin delete shadows /all /quiet

Set-MpPreference -DisableRealtimeMonitoring $true

reg.exe add "HKLMSOFTWAREPoliciesMicrosoftWindows DefenderReal-Time Protection" /v DisableRealtimeMonitoring /t REG_DWORD /d 1 /f

Stop-Service -Name "WinDefend" -Force; Set-Service -Name "WinDefend" -StartupType Disabled
Stop-Service -Name "WdNisSvc" -Force; Set-Service -Name "WdNisSvc" -StartupType Disabled
Stop-Service -Name "SecurityHealthService" -Force; Set-Service -Name "SecurityHealthService" -StartupType Disabled
Stop-Service -Name "Sense" -Force; Set-Service -Name "Sense" -StartupType Disabled

Trong một sự cố, Microsoft Defender đã phát hiện và cách ly payload, ngăn chặn quá trình mã hóa hoàn toàn. Tuy nhiên, sự cố còn lại đã dẫn đến việc khóa tệp thành công, cho thấy rủi ro bảo mật cao của mã độc ransomware này.

Kỹ thuật Đánh cắp Dữ liệu và Tống tiền

Việc trích xuất dữ liệu là hiển nhiên thông qua MEGA, với các quy trình như MEGAcmdUpdater.exe được khởi chạy trực tiếp hoặc dưới dạng các tác vụ đã lên lịch. Các tệp nhạy cảm được sao chép vào các kho lưu trữ từ xa. Giai đoạn trích xuất này, thường xảy ra trước khi kích hoạt ransomware, nhấn mạnh mô hình tống tiền kép, nơi dữ liệu bị đánh cắp làm tăng đòn bẩy trong quá trình đàm phán.

Các ghi chú đòi tiền chuộc của Cephalus khác biệt so với các mẫu chung bằng cách kết hợp các yếu tố cá nhân hóa. Chúng trực tiếp đề cập đến tên miền của nạn nhân và nhúng các liên kết đến các bài báo trên các trang web như InsecureWeb và DarkWebInformer. Các bài báo này trình bày chi tiết các vụ vi phạm dữ liệu bị cáo buộc trước đó từ tháng 7 và tháng 8 năm 2025. Các ghi chú này khẳng định việc đánh cắp dữ liệu và cung cấp các liên kết GoFile.io với mật khẩu để xác minh mẫu, nhằm mục đích tạo ra sự khẩn cấp và độ tin cậy. Đây là một chiến thuật tấn công mạng tâm lý đáng chú ý.

Các Chỉ số Nhận diện và Khuyến nghị Phòng ngừa

Việc các tác nhân đe dọa sử dụng RDP làm nổi bật các lỗ hổng dai dẳng trong cấu hình truy cập từ xa, đặc biệt trong các môi trường không có MFA hoặc phân đoạn mạng. Mặc dù chưa có xác nhận trực tiếp về mối liên hệ với các nhóm ransomware-as-a-service (RaaS) đã thành lập như BlackByte, nhưng các chiến thuật này phản ánh những gì trong các sự cố Crux, bao gồm việc lạm dụng các tệp nhị phân hợp pháp như svchost.exe và bcdedit.exe để phá hoại khả năng khôi phục.

Các Chỉ số Nhận diện (Indicators)

• Phần mở rộng tệp được mã hóa:.sss
• Tên ghi chú đòi tiền chuộc:recover.txt
• Tệp thực thi DLL sideloading:SentinelBrowserNativeHost.exe (trong thư mục Downloads của người dùng), tải SentinelAgentCore.dll, chứa payload trong data.bin
• Công cụ trích xuất dữ liệu:MEGAcmdUpdater.exe
• Nền tảng lưu trữ tệp được sử dụng trong ghi chú đòi tiền chuộc:GoFile.io
• Các dịch vụ bị vô hiệu hóa: WinDefend, WdNisSvc, SecurityHealthService, Sense

Khuyến nghị Phòng ngừa

Các tổ chức đang chạy giải pháp SentinelOne hoặc các giải pháp EDR tương tự nên giám sát các thực thi bất thường trong các đường dẫn không chuẩn, chẳng hạn như thư mục Downloads của người dùng. Đồng thời, hãy tiến hành kiểm tra thường xuyên các phơi nhiễm RDP để giảm thiểu rủi ro bảo mật.

Khi mã độc ransomware phát triển với khả năng né tránh dựa trên AI và trích xuất dựa trên đám mây, các biện pháp chủ động vẫn rất quan trọng. Điều này bao gồm áp dụng nguyên tắc đặc quyền tối thiểu, giám sát hành vi và cập nhật bản vá kịp thời để giảm thiểu các mối đe dọa này. Phân tích của Huntress nhấn mạnh giá trị của việc săn lùng mối đe dọa trong việc xác định các chỉ số trước mã hóa, có khả năng ngăn chặn các sự cố quy mô lớn.