Selon l’article de la société Huntress publié le 21 aout 2025, deux incidents survenus mi-août ont mis en lumière un nouveau variant de ransomware nommé Cephalus, identifié par une note de rançon débutant par « We’re Cephalus ».
Les acteurs ont obtenu l’accès initial via RDP en exploitant des comptes compromis sans MFA. Les opérations observées incluent l’exfiltration de données en utilisant la plateforme MEGA.
Particularité notable, le déploiement du ransomware repose sur une chaîne de chargement atypique impliquant un DLL sideloading à partir d’un exécutable légitime SentinelOne (SentinelBrowserNativeHost.exe). Le binaire malveillant est ensuite chargé depuis un fichier data.bin contenant le code du ransomware.
Indicateurs et éléments techniques (IOCs/TTPs) :
- IOCs présumés: noms de fichiers
SentinelBrowserNativeHost.exe,data.bin. - TTPs: RDP via comptes compromis sans MFA; exfiltration vers MEGA; DLL sideloading via un exécutable légitime; chargement du code depuis un fichier binaire.
Type d’article: analyse de menace décrivant un nouveau variant de ransomware et ses TTPs.
🧠 TTPs et IOCs détectés
TTPs
Initial Access via RDP with compromised accounts without MFA; Data Exfiltration to MEGA; DLL Sideloading using a legitimate executable (SentinelOne); Loading ransomware code from a binary file.
IOCs
SentinelBrowserNativeHost.exe, data.bin
🔗 Source originale : https://www.huntress.com/blog/cephalus-ransomware
🖴 Archive : https://web.archive.org/web/20250827210857/https://www.huntress.com/blog/cephalus-ransomware