Hack Alerta

Cephalus: novo ransomware Go de dupla extorsão ataca redes via RDP

Por Redação Hack Alerta Publicado em 11/02/2026 10:02 Cyber ataques Tempo de leitura: 3 min

Cephalus é um ransomware escrito em Go que segue playbook de dupla extorsão; começa em RDP exposto sem MFA, faz reconhecimento rápido, tampering em Defender e encriptação AES‑256 com chaves RSA. Recomenda‑se fechar RDP, impor MFA, monitorar tarefas agendadas e proteger backups.

Resumo

Cephalus é um ransomware escrito em Go, observado em atividade desde meados de 2025 e com relatos públicos mais amplos desde agosto de 2025. Opera com dupla extorsão — exfiltra dados antes de criptografar — e suas intrusões frequentemente começam em RDP exposto sem MFA ou com credenciais roubadas.

Origem e mapeamento de comportamento

Relatórios públicos e análises de fornecedores (citados na matéria) consolidaram técnicas e sequência de ações adotadas pelo Cephalus. Pesquisadores do AttackIQ modelaram um fluxo de emulação que reproduz as etapas observadas: desde acesso inicial até tarefas finais de defesa e recuperação comprometida.

TTPs principais observados

  • Vetor inicial: serviços RDP expostos, normalmente sem MFA; uso de credenciais roubadas e brute‑force reportado.
  • Movimento lateral e reconhecimento: chamadas a APIs Windows (GetSystemInfo, RtlGetVersion, GetUserNameW etc.) para mapear ambiente e selecionar alvos.
  • Evasão e persistência: injeção de processos (VirtualAlloc/VirtualProtect), criação de tarefas agendadas (schtasks) como persistência.
  • Criptografia: esquema híbrido com AES‑256 (CTR) para dados e RSA‑1024 para proteger chaves por vítima.
  • Tampering em Microsoft Defender: alterações via PowerShell (Add-MpPreference/Set-MpPreference) e mudanças em chaves de registro para desabilitar/abrir exclusões.

Impacto operacional

Campanhas Cephalus causam downtime operacional, perda de confidencialidade (exfiltração prévia) e pressão por pagamento via vazamentos de "provas" de dados. A capacidade de alterar configurações de antimalware e remover cópias de sombra (vssadmin) reduz eficácia de resposta e recuperação.

Recomendações imediatas para defesa

  • Fechar exposição de RDP: aplicar restrição por VPN/allowlist, negar acesso direto pela internet e imponer MFA obrigatório para acessos remotos.
  • Detecção e resposta: alertar para criação de tarefas agendadas incomuns, uso de vssadmin, mudanças em preferências do Defender e execuções de processos suspeitos a partir de serviços legítimos.
  • Backups e testes: manter backups offline/imutáveis e validar procedimentos de recuperação em cenários de dupla extorsão.
  • Segurança de credenciais: rotacionar senhas, revogar credenciais comprometidas e usar PAM/just-in-time para reduzir blast radius.

Observações e limitações

A matéria consultada reúne análise comportamental (AttackIQ, Huntress, Ahnlab) mas não lista amostras binárias completas nem indicadores públicos detalhados no texto. Times de threat intelligence e CSIRT devem correlacionar com feeds oficiais para obter hashes, IoCs e regras de detecção.

Resumo executivo para CISOs

Cephalus é um exemplo de ransomware moderno que combina exfiltração e ataques rápidos de criptografia, explorando práticas fracas de exposição de RDP e controles insuficientes de endpoint. Mitigação eficaz passa por reduzir a exposição, impor MFA, reforçar telemetria e garantir planos de recuperação testados.

Baseado em publicação original de Cyber Security News
Tags: #ransomware #cephalus #rdp #double-extortion #go #defender #aes-256 #rsa-1024 #mitigacao
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar