ظهر برنامج الفدية Cephalus كسلالة جديدة من برامج الفدية المطورة بلغة Go، وتشير المعلومات إلى ارتباطه بأنشطة استهداف الضحايا منذ يونيو 2025، مع انتشار التقارير العامة حوله في أغسطس من نفس العام.
يركز هذا البرنامج الخبيث على شبكات ويندوز ويتبع منهجية الاستغلال المزدوج، حيث يقوم بسرقة البيانات الحساسة قبل تشفير الملفات. هذا النهج يضع الضحايا تحت ضغط مضاعف، إذ يواجهون تعطيلاً في العمليات المحتمل، بالإضافة إلى التهديد بتسريب بياناتهم.
برنامج الفدية Cephalus يستهدف بروتوكول سطح المكتب البعيد
ترتبط العديد من عمليات الاختراق الأخيرة ببروتوكول سطح المكتب البعيد (RDP) المكشوف، والذي يفتقر إلى المصادقة متعددة العوامل، وغالباً ما يتم بالاقتران مع بيانات اعتماد مسروقة. وهذا يوفر للمهاجمين نقطة دخول سهلة إلى الأنظمة المستهدفة.
بمجرد الدخول، يتحرك البرنامج الخبيث بسرعة من مرحلة الوصول إلى مرحلة التأثير، مستهدفاً تعطيل الدفاعات وتقويض خيارات التعافي. يستخدم Cephalus مخططًا هجينًا للتشفير، حيث يقوم بتشفير الملفات باستخدام AES-256 في وضع CTR، ويحمي المفاتيح الخاصة بكل ضحية باستخدام RSA-1024.
تحليل سلوكيات برامج الفدية
بعد ظهور التقارير المبكرة، لاحظ باحثو AttackIQ نمط السلوكيات المرتبطة بـ Cephalus وقاموا بتطوير تسلسل محاكاة يعكس كيفية نشره على مضيف مخترق. يستند هذا التحليل إلى سلوكيات وصفها باحثون من Huntress و Ahnlab، بالإضافة إلى التحليل الداخلي.
يشمل تسلسل المحاكاة التشغيل الأولي، بما في ذلك حقن العمليات عبر VirtualAlloc و VirtualProtect، وتثبيت الوجود المستمر عبر المهام المجدولة التي يتم إنشاؤها باستخدام schtasks. كما يتم جمع معلومات حول بيئة الضحية.
قبل البدء في عملية التشفير، يقوم Cephalus بإجراء فحوصات سريعة لفهم بيئة الضحية، حيث يجمع تفاصيل النظام والمستخدم، ويسرد العمليات قيد التشغيل. يتضمن ذلك استخدام واجهات برمجة تطبيقات ويندوز مثل GetSystemInfo و RtlGetVersion وغيرها.
يمكنه أيضًا جمع تفاصيل عن محولات الشبكة ومحركات الأقراص، ثم استعراض نظام الملفات لاختيار الملفات المستهدفة للتشفير.
تعطيل برنامج الحماية Windows Defender
تعتبر خطوة إضعاف برنامج Microsoft Defender خطوة مراوغة رئيسية للمهاجمين. يقومون فيها بتعطيل أو تقليل الحمايات في الوقت الفعلي، وإضافة استثناءات للمسارات أو العمليات أو ملحقات الملفات.
تتضمن الإجراءات المرصودة تغييرات في PowerShell مثل Add-MpPreference و Set-MpPreference، بالإضافة إلى تعديلات في سجل النظام تحت مفاتيح سياسة Windows Defender، والتي يمكن أن توقف المراقبة أو المسح.
هذه المرحلة تقليل من فرصة حظر الحمولة الخبيثة، حيث تخلق الاستثناءات والتغييرات في الإعدادات ثغرات تسمح للبرنامج بالعمل بحرية أكبر. لذلك، يجب على فرق الأمن السيبراني التعامل مع اتصالات RDP المفتوحة كنقطة مخاطر عالية.
يُنصح بفرض المصادقة متعددة العوامل، وتقييد الوصول عبر VPN أو قوائم السماح، ومراقبة محاولات القوة الغاشمة وتسجيل الدخول غير العادي، وإعادة تعيين كلمات المرور عند الاشتباه في سرقتها. على مستوى نقاط النهاية، يجب التنبيه على المهام المجدولة الجديدة، وحذف نسخ ظل vssadmin، والتغييرات المفاجئة في تفضيلات Defender أو سياسات السجل، وإيقاف الخدمات المشبوهة للنسخ الاحتياطي أو قواعد البيانات، مع الحفاظ على نسخ احتياطي غير متصل وتدريب على إجراءات الاستعادة.