Ransomware Cephalus: accès RDP sans MFA, exfiltration via MEGA et DLL sideloading via SentinelOne
Selon l’article de la société Huntress publié le 21 aout 2025, deux incidents survenus mi-août ont mis en lumière un nouveau variant de ransomware nommé Cephalus, identifié par une note de rançon débutant par « We’re Cephalus ». Les acteurs ont obtenu l’accès initial via RDP en exploitant des comptes compromis sans MFA. Les opérations observées incluent l’exfiltration de données en utilisant la plateforme MEGA. Particularité notable, le déploiement du ransomware repose sur une chaîne de chargement atypique impliquant un DLL sideloading à partir d’un exécutable légitime SentinelOne (SentinelBrowserNativeHost.exe). Le binaire malveillant est ensuite chargé depuis un fichier data.bin contenant le code du ransomware. ...