Cephalus یک عملیات باجافزاری نسبتاً جدید است که در میانه سال ۲۰۲۵ پدیدار شد و تاکنون با موجی از افشاگریهای دادههای حساس با پروفایل بالا مرتبط شده است.
مانند بسیاری از حملات باجافزاری دیگر، Cephalus نهتنها دادهها را رمزگذاری میکند بلکه آنها را نیز سرقت میکند – و قربانیان را در یک وبسایت که در دارکوب میزبانی میشود، نامبرده و رسوا میکند.
نام Cephalus از کجا آمده است؟
Cephalus شخصیتی در اساطیر یونان است که از آرتمیس نیزهای دریافت کرد که «هرگز خطا نمیکرد.» شاید گروه باجافزاری قصد دارد به ناظران القا کند که آنها نیز به همین ترتیب همیشه اهداف مورد نظرشان را به دام میاندازند.
Cephalus چه نوع شرکتهایی را هدف قرار داده است؟
تاکنون Cephalus شرکتهای حقوقی، خدمات مالی، سازمانهای حوزه سلامت، یک دفتر معماری در ایالات متحده، یک شرکت فناوری اطلاعات ژاپنی و آژانسهای بازاریابی را هدف گرفته است.
اوایل این ماه، Cephalus مدعی شد بیش از ۵ گیگابایت داده از شرکت حقوقی Sherman Silverstein در نیوجرسی را افشا کرده است – دادههایی که گفته میشود شامل فایلهای داخلی حساس از جمله سوابق مالی، اعتبارنامهها و پروندههای حقوقی بودهاند.
اخیراً نیز، Cephalus شهر Vienna در شهرستان Fairfax، ویرجینیا را به فهرست قربانیان خود اضافه کرده است – هرچند هیچ تأیید رسمی از سوی وبسایت رسمی شهر مبنی بر وقوع این حمله منتشر نشده است. فهرست قربانیان اخیر ادعایی Cephalus را میتوان در وبسایت افشاگری آن مشاهده کرد.
این باجافزار چگونه وارد شبکه میشود؟
Cephalus با سوءاستفاده از حسابهای پروتکل دسترسی از راه دور دسکتاپ (RDP) که با احراز هویت چندعاملی (MFA) ایمن نشدهاند، سامانهها را به خطر میاندازد.
اگر مهاجمان موفق به جمعآوری اعتبارنامههای لازم برای ورود از راه دور از طریق RDP شوند، نبود MFA کار را برای نفوذ بسیار آسان میکند.
و بعد از نفوذ چه میشود؟
طبق گزارش پژوهشگران شرکت امنیتی Huntress، این باجافزار رویکردی غیرمعمول در اجرای بار مخرب باجافزار خود دارد.
Cephalus یک برنامه واقعی متعلق به شرکت امنیتی SentinelOne (با نام SentinelBrowserNativeHost.exe) را در پوشه Downloads رایانه هدف قرار میدهد. این اپلیکیشن که به احتمال زیاد توسط نرمافزار امنیتی بهعنوان یک فایل معتبر و بیخطر شناخته میشود، فریب داده میشود تا یک DLL مخرب را sideload کند. این DLL سپس فایلی به نام data.bin را اجرا میکند که شامل کد واقعی باجافزار است. این تلاش مهاجمان برای دور زدن شناسایی توسط نرمافزارهای امنیتی است.
مانند بسیاری از گونههای دیگر باجافزار، Cephalus فایلهای Windows Shadow Copy را حذف میکند – فایلهایی که شرکتها ممکن است به امید بازیابی دادههای خود به آنها تکیه کنند. علاوه بر این، Cephalus اجرای Windows Defender را متوقف و غیرفعال میکند تا بتواند فایلهای قربانی را بدون مقاومت رمزگذاری کند.
از کجا بفهمم که رایانههای من به Cephalus آلوده شدهاند؟
اولین چیزی که ممکن است متوجه شوید این است که Cephalus شما را از دسترسی به فایلهایتان محروم کرده و نام آنها را به پسوند “.sss” تغییر داده است. علاوه بر این، یک یادداشت باجخواهی توسط مهاجمان به جا گذاشته میشود که بخشی از آن چنین میگوید:
مدیر محترم: ما Cephalus هستیم، 100٪ با انگیزه مالی. متأسفیم که به اطلاع شما برسانیم اینترانت شما توسط ما به خطر افتاده است و ما دادههای محرمانه شما را از جمله مشتریان و قراردادهای تجاری شما سرقت کردهایم.
چگونه میتوان شرکت خود را در برابر باجافزاری مانند Cephalus محافظت کرد؟
سازمانهایی که احساس میکنند ممکن است در معرض خطر باشند، بهتر است توصیههای کلی Fortra برای دفاع در برابر حملات باجافزاری را دنبال کنند. این توصیهها شامل مواردی همچون فعالسازی MFA در تمامی نقاط دسترسی از راه دور، غیرفعالسازی کامل دسترسیهای RDP یا VPN غیرضروری، و استفاده از IP allowlist یا geofencing در صورت امکان است.
علاوه بر این، توصیه میشود که همه شرکتها بهترین شیوههای دفاع در برابر باجافزار را رعایت کنند، از جمله:
- ایجاد پشتیبانگیری ایمن و خارج از سایت.
- اجرای راهکارهای امنیتی بهروز و اطمینان از اینکه کامپیوترها با آخرین وصلههای امنیتی در برابر آسیبپذیریها محافظت شدهاند.
- استفاده از گذرواژههای منحصربهفرد و مقاوم برای محافظت از دادهها و حسابهای حساس، همراه با فعالسازی MFA.
- رمزگذاری دادههای حساس در هر جا که امکانپذیر است.
- کاهش سطح حمله از طریق غیرفعال کردن قابلیتهایی که شرکت به آنها نیازی ندارد.
- آموزش و آگاهیبخشی به کارکنان درباره خطرات و روشهای مورد استفاده مجرمان سایبری برای اجرای حملات و سرقت دادهها.
منبع: https://www.fortra.com/blog/cephalus-ransomware-what-you-need-know
