【安全圈】Cephalus 勒索组织滥用 RDP 凭证发起全球加密攻击

关键词

网络攻击

2025年6月中旬，AhnLab 安全研究团队披露，一个名为Cephalus的新型勒索软件组织正在全球范围内快速扩张。该组织以经济利益为驱动，主要通过窃取或购买企业的远程桌面协议（RDP）凭证入侵目标系统，并在取得控制后实施数据窃取与全盘加密，最终向受害者勒索赎金。

Cephalus 的攻击方式具有高度的系统化与目的性。它专门针对未启用多因素认证（MFA）的 RDP 服务，将这些存在远程访问漏洞的系统作为突破口。一旦攻入网络，攻击者便会迅速建立持久化访问，利用自身的远程控制权限，在内部横向移动，最终全面接管系统。该组织以希腊神话人物“Cephalus”命名，寓意其攻击如同神话中的“必中之矛”，几乎没有失手的可能。

研究显示，Cephalus 在取得访问权限后，会依次执行一套固定的攻击流程：先通过RDP渗透并建立通道，然后窃取系统与用户层面的敏感数据，最后部署定制化勒索软件，对整个网络进行加密。这种流程几乎完全自动化，显示出其成熟的攻击体系。AhnLab 认为，Cephalus 的行动模式与勒索即服务（RaaS）平台类似，但目前尚无法确定该组织是否以租赁形式运作。不过从其攻击协调程度和定制开发水平来看，其内部组织结构已经非常完善。

在技术层面上，Cephalus 勒索软件由Go语言编写，具备极强的反检测与反取证能力。程序运行后，会立即关闭Windows Defender的实时防护功能，删除系统的卷影副本，终止包括Veeam和Microsoft SQL Server在内的关键服务，以确保加密过程不被中断。加密机制方面，它结合了AES-CTR 对称加密算法与RSA 公钥加密机制，通过生成一个虚假的 AES 密钥来误导安全分析工具，从而掩盖真实的加密逻辑。AhnLab 指出，这种设计极大地提升了分析与防御的难度，使得即便安全人员捕获样本，也难以追踪其核心逻辑。

与其他勒索组织不同，Cephalus 在施压手段上更为激进。攻击者通常会在勒索信中提供GoFile 文件仓库的访问链接，以此展示部分已被窃取的数据，向受害者证明信息外泄的真实性。企业不仅面临数据加密导致的业务中断，还要承受机密信息被公开的双重威胁，这种“证据式施压”显著提高了受害者支付赎金的比例。

AhnLab 强调，此类攻击的根本漏洞在于远程访问安全管理的松懈。组织若未部署多因素认证，或未对外部访问进行足够的身份验证与访问控制，就极易成为Cephalus的目标。为应对这类威胁，企业应立即在所有 RDP 服务中启用多因素认证，强化密码策略，定期更换访问凭证，并确保备份系统独立于生产网络。同时，安全团队应配备具备行为分析与威胁检测能力的终端防护系统（EDR），对网络中的异常活动保持持续监控。

Cephalus 的出现再次表明，勒索攻击正从单纯的加密勒索，演变为以数据控制与信息曝光为核心的多层威胁模式。在远程办公和云端访问日益普及的当下，RDP 安全已成为企业防御体系中不可忽视的关键环节。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！