Новая группа вымогателей Cephalus, появившаяся в середине июня 2025 года, демонстрирует необычную операционную модель и техническую изощренность. Группа открыто заявляет, что движима исключительно финансовыми мотивами, что отличает ее от многих современных APT (продвинутых постоянных угроз), сочетающих экономические и политические интересы.
Описание
Основной вектор атак Cephalus - компрометация учетных записей Remote Desktop Protocol (удаленного рабочего стола) без многофакторной аутентификации. Это классическая, но по-прежнему эффективная тактика, особенно против организаций со слабыми политиками паролей. Уникальность группы заключается в разработке кастомизированного вредоносного ПО под конкретные цели. После проникновения в систему злоумышленники не только шифруют данные, но и предварительно их похищают, создавая двойное давление на жертв.
Мифологическое происхождение названия группы отсылает к Кефалу, получившему от Артемиды «безошибочное» копье. Это символизирует уверенность преступников в успешности своих операций. На данный момент не установлено, работают ли они по модели Ransomware as a Service (ransomware как услуга) или образуют альянсы с другими группами. Отсутствие данных о ребрендинге и прямых связях с известными вымогателями позволяет предположить, что это относительно новая независимая структура.
Технический анализ показывает, что Cephalus разработан на языке Go, что обеспечивает кроссплатформенность и усложняет анализ. Ранние версии демонстрируют сложные механизмы противодействия исследованию. Одной из ключевых особенностей является генерация фальшивого AES-ключа при запуске. Программа создает случайный буфер объемом 1024 байта и многократно перезаписывает его строкой «FAKE_AES_KEY_FOR_CONFUSION_ONLY!», что вводит в заблуждение системы динамического анализа и усложняет обнаружение реального ключа шифрования.
После проникновения в систему ransomware выполняет серию деструктивных действий: отключает защиту Windows Defender в реальном времени, удаляет теневое копирование томов и останавливает критически важные службы, включая Veeam и MSSQL. Эти меры значительно снижают вероятность восстановления данных без участия злоумышленников.
Криптографическая схема Cephalus использует единый AES-CTR ключ для шифрования всех файлов, что является нетипичным решением. Обычно современные вымогатели генерируют отдельные ключи для каждого файла или сегмента данных. Такой подход делает крайне важным сохранение единственного master-ключа в секрете. Ключ создается путем многократного применения функции SHA-256 к случайному 32-байтовому значению, что соответствует современным стандартам криптографической стойкости.
Для минимизации риска раскрытия ключа разработчики внедрили специальную структуру SecureMemory с набором методов защиты. Функция LockMemory использует Windows API VirtualLock для предотвращения вытеснения страниц памяти на диск. Это блокирует возможность извлечения ключа из файла подкачки - распространенного источника информации при криминалистическом анализе.
Дополнительная защита реализована через методы SetData и GetData, которые используют операцию XOR со случайно сгенерированным ключом маскирования. В результате в памяти хранится не оригинальный AES-ключ, а его замаскированная версия. Это значительно усложняет извлечение ключа через дамп памяти. Специалисты по кибербезопасности отмечают, что оптимальным моментом для перехвата ключа является вызов метода GetData, когда происходит временное восстановление оригинального значения.
Тактика психологического давления жертв отражает эволюцию подходов киберпреступников. В вымогательских сообщениях группа открыто заявляет о своем присутствии и предыдущих успешных атаках, демонстрируя доказательства компрометации через ссылки на файлообменник GoFile. Это увеличивает вероятность выплаты выкупа, особенно для организаций, работающих с конфиденциальными данными.
Эксперты подчеркивают, что несмотря на техническую сложность Cephalus, первоначальный вектор атаки остается относительно простым - компрометация учетных записей RDP. Это указывает на необходимость приоритизации базовых мер безопасности: внедрение многофакторной аутентификации, регулярный аудит учетных записей и мониторинг подозрительной активности в системах удаленного доступа.
На текущий момент не зафиксировано случаев успешного восстановления данных без участия преступников. Специалисты рекомендуют организациям уделять особое внимание резервному копированию по модели 3-2-1 и регулярному тестированию процедур восстановления. Атаки Cephalus демонстрируют, что даже технически продвинутые группы продолжают успешно эксплуатировать фундаментальные пробелы в безопасности.
Индикаторы компрометации
MD5
- 6221b0bf4d365454d40c546cf7133570
- a16a1228d5276eec526c21432a403923
