概要

サイバーセキュリティの脅威ランドスケープに、新たなランサムウェアグループ「Cephalus」が登場しました。このグループは、侵害されたリモートデスクトッププロトコル（RDP）アカウントを介して組織を標的にしています。2025年6月中旬に初めて検出されたこのグループは、リモートアクセスシステムに適切なセキュリティ対策を講じていない企業にとって、増大する脅威となっています。

Cephalusの運用方法

Cephalusランサムウェアグループは、多要素認証（MFA）が不足しているRDPアカウントから認証情報を盗むことから始まる、高度な攻撃戦略を採用しています。被害者のネットワークに侵入すると、脅威アクターは特定の組織を標的とするように設計されたカスタマイズされたランサムウェアを展開します。彼らの攻撃チェーンには、システムの侵害、機密データの窃取、そして被害者への圧力を最大化するための暗号化が含まれます。このグループは、金銭的利益のみを動機としていると公言しており、純粋に利益追求型のサイバー犯罪組織です。

Cephalusが他のランサムウェアグループと異なる点は、各被害者に対するオーダーメイドのアプローチです。一般的なランサムウェアの亜種を使用するのではなく、特定のターゲットに合わせてマルウェアをカスタマイズすることで、成功率を高めている可能性があります。このグループはギリシャ神話のケファロスに由来しており、女神アルテミスから「決して外れない」槍を受け取った人物であり、これは彼らの攻撃の有効性に対する自信を象徴しています。被害者が侵害されると、Cephalusは身代金要求メモでその存在を公然と発表し、以前の成功した攻撃を参照して心理的圧力を高めます。彼らは、暗号化が行われる前にすでに機密データが流出していることを示すために、盗まれた情報を含むGoFileリポジトリへのリンクを提供することで、データ侵害を証明します。

技術的特徴

Go言語で構築されたCephalusランサムウェアは、高度な回避技術と暗号化技術を採用しています。実行されると、Windows Defenderのリアルタイム保護を即座に無効にし、容易な回復を防ぐためにボリュームシャドウコピーサービス（VSS）のバックアップを削除します。このマルウェアは、VeeamバックアップソフトウェアやMicrosoft SQL Serverデータベースなどの重要なサービスも終了させ、被害者の回復オプションを最小限に抑えながら暗号化の成功を最大化します。

ランサムウェアは、すべてのファイルに単一のキーでAES-CTR暗号化を使用しており、キー管理がその運用にとって重要です。セキュリティアナリストからこのキーを隠すために、Cephalusは実行中に偽のAESキーを生成します。これは、1,024バイトのバッファを作成し、「FAKE_AES_KEY_FOR_CONFUSION_ONLY!」という文字列で繰り返し上書きするものです。この技術は、メモリ操作を監視する動的分析ツールを妨害します。実際の暗号化キーが発見されるのを防ぐため、CephalusはSecureMemory構造を実装してキーのストレージを安全に管理します。Windows API関数を使用してキーをメモリにロックし、ページアウト操作によってディスクに書き込まれるのを防ぎます。さらに、キーは保存前にランダムな値とXORされ、メモリダンプでも実際の暗号化キーが平文で明らかにならないようにしています。

既知の関連情報

セキュリティ研究者たちは、Cephalusが他のランサムウェアグループと潜在的なつながりがあるのか、あるいはRansomware-as-a-Service（RaaS）として運営されているのかについて、限られた情報しか持っていません。これまでの運用からのブランド変更や、組織内のサブグループの存在に関する証拠は出ていません。

元記事: https://gbhackers.com/threat-actors-to-deploy-cephalus-ransomware/