رصد باحثون ظهور عائلة فدية جديدة اسمها Cephalus نشأت منتصف يونيو 2025، وتتميّز بأنها مكتوبة بلغة Go ومصممة لاستغلال حسابات Remote Desktop (RDP) التي لا تُفعَّل فيها المصادقة متعددة العوامل (MFA)، وصولًا إلى تنفيذ تشفير واسع النطاق وتعطيل آليات الاسترداد داخل المؤسسات.
أسلوب الاختراق والانفاذ — الوصول عبر RDP ثم تسريع التأثير
تبدأ معظم حالات الاختراق بسرقة بيانات اعتماد لحسابات RDP غير المحمية بـMFA أو استغلال حسابات RDP الضعيفة، ما يمنح المهاجم وصولًا تامًا إلى الشبكة الداخلية للمؤسسة. بعد الحصول على النفاذ تُنفّذ الحمولة محليًا بهدف تعطيل دفاعات المضيف وزعزعة فرص الاسترداد قبل بدء التشفير: تعطيل حماية Windows Defender في الوقت الحقيقي، حذف نسخ الظل (VSS backups)، وإيقاف خدمات نسخ احتياطي مثل Veeam وMSSQL لزيادة فاعلية التشفير وتقليل فرص الاسترداد.
التصميم التقني والآليات المضادة للتحليل
توظّف عائلة Cephalus تصميم تشفيري عملي: تستخدم خوارزمية AES-CTR بمفتاح واحد للتشفير، ثم تُشفّر هذا المفتاح الأحادي للـAES باستخدام مفتاح RSA عام مُضمَّن داخل العينة؛ ما يضمن أن من يملك فقط المفتاح الخاص للـRSA هم القادرون على فك تشفير مفاتيح AES المستعملة. في محاولة لتعقيد التحليل، تولّد العينات مفتاح AES زائفًا وتملأ بافرات عشوائية ومن ثم تستبدلها بنمط زائف متكرر، ما يربك الباحثين وأدوات التحليل ويجعل تتبّع المفتاح الحقيقي أصعب. كما تُقلّل العينة من ظهور مفاتيح التشفير على القرص وفي الذاكرة لتقليل فرص الاكتشاف أو المسح.
أساليب الالتفاف والملاحظات الميدانية
لوحظت أساليب جانبية مثل DLL sideloading لتجاوز بعض آليات الحماية، واستغلال تنفيذ ثنائيات موقعة أو مكونات نظام مشروعة لإعطاء الشيفرة الخبيثة غطاءً شرعيًا أثناء التنفيذ. كما سجّلت التحقيقات نشر ملاحظات فدية معيارية في المجلدات المتأثرة وامتناع العينة عن تغيّر خلفية سطح المكتب—سلوك يميّزها عن بعض عائلات الفدية الأخرى. لم يتضح بعد ما إذا كانت العائلة تعمل على نموذج RaaS أم كفرقة مستقلة، لكن نمط التوزيع عبر بيانات اعتماد RDP يشير إلى احتمال وجود شبكة مزوِّدي وصول أولي أو استخدام بيانات مسروقة من أسواق الجريمة الإلكترونية.
دلالات الاستهداف والتوصيات العملية للأمن السيبراني
تؤكد حالة Cephalus مجددًا أن حسابات الوصول عن بُعد تمثل مدخلاً جذريًا لهجمات مدمّرة. رغم التصميم التقني المتقدّم للعائلة، فإن كثيرًا من اختراقاتها كان من الممكن منعها بتطبيق إجراءات أساسية: تفعيل MFA على كافة واجهات RDP، تعطيل بروتوكول RDP إذا لم يكن مطلوبًا، تقييد الوصول عبر شبكات VPN وآليات وصول مشروطة (ZTNA)، تطبيق مراقبة سجلات الدخول واكتشاف سلوكيات الجلسات المشبوهة، وإجراء نسخ احتياطي خارجي محمي ضد تغيّر النسخ الظلية. كما يوصى بفحص الذاكرة لاكتشاف آليات التعتيم على مفاتيح التشفير، مراقبة محاولات توقيف خدمات النسخ الاحتياطي، والبحث عن علامات DLL sideloading أو تنفيذ عبر ملفات تنفيذية موقعة غير متوقعة.
