Una cepa de ransomware recientemente identificada llamada Cephalus se ha convertido en una amenaza sofisticada, dirigida a las organizaciones a través de conexiones de protocolo de escritorio remoto (RDP) comprometido.
El malware, que toma su nombre de la mitología griega que hace referencia al hijo de Hermes que mató trágicamente a su esposa con una jabalina infalible, representa una evolución preocupante en las técnicas de despliegue de ransomware.
Cephalus se distingue de otras familias de ransomware a través de su metodología de infección única y tácticas de evasión sofisticadas.
Los operadores de malware obtienen acceso inicial a las redes de objetivos explotando las credenciales de RDP que carecen de autenticación multifactor (MFA), una vulnerabilidad que continúa afectando a las organizaciones en todo el mundo.
Una vez dentro de la red, los atacantes utilizan la plataforma de almacenamiento de mega en la nube para la exfiltración de datos antes de implementar la carga útil de ransomware.
Linaje de proceso que muestra el uso de mega (fuente – cazadora)
El mecanismo de implementación de ransomware implica un enfoque particularmente inteligente que utiliza la respuesta lateral de DLL a través de componentes de software de seguridad legítimos.
Analistas de cazadores identificado Esta técnica durante las investigaciones de dos incidentes separados que ocurren el 13 de agosto y el 16 de agosto de 2025, donde el malware se infiltró con éxito a las organizaciones que ejecutan productos de seguridad sentinelona legítimos.
Dll cadena de ejecución y respuesta lateral
El aspecto técnicamente más intrigante de Cephalus radica en su estrategia de despliegue, que explota un archivo ejecutable de Sentinelone legítimo llamado SentinelBrowSernativeHost.exe.
Los operadores de ransomware colocan este binario legítimo en la carpeta de descargas del usuario, desde donde carga una DLL maliciosa llamada SentInelagentCore.dll.
Posteriormente, esta DLL carga un archivo llamado Data.bin que contiene el código de ransomware real, creando una cadena de ejecución de varias etapas que ayuda a evadir la detección.
Tras una ejecución exitosa, Cephalus comienza inmediatamente a la prevención de recuperación del sistema al ejecutar comandos integrados.
El primer comando ejecutado es vssadmin eliminar sombras /all /quiet, que elimina las copias de volumen en la sombra que podrían usarse para la recuperación de archivos.
Luego, el malware deshabilita sistemáticamente el defensor de Windows a través de una serie de comandos de PowerShell que crean exclusiones para los procesos críticos del sistema y las extensiones de archivos, incluidos los archivos .cache, .tmp, .dat y .sss.
El ransomware modifica además las entradas del registro de Windows para deshabilitar la protección en tiempo real, el monitoreo de comportamientos y las funciones de protección en el acceso.
Se detiene y deshabilita los servicios de defensor de Windows, incluidos SecurityHealthService, Sense, Windefend y WDNISSVC a través de comandos de PowerShell ejecutados con estilos de ventana ocultos y políticas de ejecución pasadas.
Nota de Ransom Cephalus publicada públicamente en Twitter (Fuente – Cazadora)
Las notas de rescate de Cephalus contienen una característica única: hacen referencia a artículos de noticias sobre ataques exitosos anteriores, intentando establecer credibilidad y crear urgencia para las víctimas.
El malware cifra los archivos con la extensión .sss y crea archivos recover.txt que contienen instrucciones de pago.
Las organizaciones pueden protegerse implementando MFA para el acceso RDP, monitoreando el uso no autorizado de ejecutables de herramientas de seguridad legítimas en ubicaciones inusuales y manteniendo capacidades integrales de detección de puntos finales.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
