Threat Actors Leveraging RDP Credentials to Deploy Cephalus Ransomware
2025/11/08 CyberSecurityNews — Cephalus という新たなランサムウェア・グループが、Remote Desktop Protocol (RDP) インフラのセキュリティ上の欠陥を悪用し、持続的かつ金銭目的の脅威をもたらしていることを、2025年6月中旬に AhnLab の研究者が確認した。このグループは盗み出した RDP の認証情報を悪用し、ネットワークに侵入して強力な暗号化攻撃を展開し、世界中の組織に重大な脅威を与えているという。
脅威グループの活動モデル
Cephalus は、金銭的利益のみを目的に活動しており、ユーザー組織を侵害するために体系的な手法を採用している。このグループは主に、多要素認証 (MFA) 保護のない RDP サービスを運用する企業を標的とし、認証情報に基づく攻撃の理想的な侵入経路を形成している。Cephalus という名称は槍を振るう神話上の人物に因んでおり、その名は作戦成功率への自信を示している。
ネットワークに侵入した Cephalus は、標準化された攻撃シーケンスを実行する。具体的には、システム侵害/機密データ窃取/被害者インフラ全体への暗号化の展開である。
このグループは、標的に合わせてランサムウェアをカスタマイズしており、高度な運用能力を示している。この運用形態からは、RaaS (Ransomware-as-a-Service) プラットフォームとして活動しているのか、他の脅威グループと連携しているのかは不明であるが、その協調的な手法が示すのは確立されたプロセスである。
技術的機能と回避戦術
Go 言語で開発された Cephalus ランサムウェアは、検出を回避しながら暗号化の成功率を最大化するために、高度なアンチフォレンジック機能と回避メカニズムを組み込んでいる。実行時には、Windows Defender のリアルタイム保護を無効化し、ボリューム・シャドウコピーを削除し、Veeam/Microsoft SQL Server などの重要サービスを終了させる。
このランサムウェアは、AES-CTR 対称暗号化と RSA 公開鍵暗号化を組み合わせた高度な暗号化アーキテクチャを採用している。特に注目すべき機能は、偽の AES 鍵を生成して動的解析ツールを欺き、研究者やエンドポイント保護システムから実際の暗号化メカニズムを隠蔽する点にある。
Cephalus による被害者への恐喝は、他と一線を画す強圧的な手法を用いる。このグループの身代金要求書に明記されるデータ流出の証拠は、GoFile リポジトリへの直接リンクであり、そこに窃取した情報が含まれている。この実証戦略により、ユーザー組織は、暗号化されたデータと情報漏洩という二重の脅威に直面するため、身代金要求に応じる可能性が大幅に高まる。
ユーザー組織にとって必要なことは、すべての RDP アクセスポイントに多要素認証を導入し、強力な認証情報管理を徹底するとともに、本番ネットワークから隔離された信頼性の高いバックアップ・システムを維持することだ。さらに、セキュリティ・チームは、Cephalus 活動の特徴的な指標を監視し、堅牢なエンドポイント検出機能を実装する必要がある。
このランサムウェア・グループの手口は、MFA のない RDP と流出/窃取された認証情報に集中している。単一要素認証の RDP が外部に開いていると、奪われた資格情報だけで内部に踏み込まれます。侵入後は Defender 無効化やシャドウコピー削除などにより復旧の余地がなくなり、暗号化と流出証拠提示で被害が拡大すると、この記事は指摘しています。よろしければ、カテゴリ Ransomware を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.