Serangan siber dengan pola baru kembali muncul dan jadi sorotan di pertengahan tahun 2025. Kali ini, kelompok peretas bernama Cephalus mulai menunjukkan taringnya dengan cara yang cukup licik — memanfaatkan kredensial RDP (Remote Desktop Protocol) yang dicuri untuk menembus jaringan perusahaan dan menyebarkan ransomware berdaya rusak tinggi.
Baca Juga : Server IIS Rentan Diserang, Hacker Bisa Masuk Tanpa Otorisasi!
Menurut hasil pengamatan tim peneliti keamanan dari AhnLab, Cephalus muncul sebagai ancaman serius yang berorientasi pada keuntungan finansial. Serangan mereka menyasar celah keamanan di sistem akses jarak jauh, terutama pada perusahaan yang belum menerapkan Multi-Factor Authentication (MFA).
Bagaimana Cephalus Beroperasi
Dari pola serangannya, Cephalus jelas bergerak dengan tujuan tunggal: mendapatkan uang. Mereka menerapkan metode yang terstruktur dan efisien untuk menembus sistem organisasi.
Target utama mereka adalah server Windows yang menjalankan layanan RDP tanpa perlindungan MFA. Tanpa lapisan keamanan tambahan ini, akun dengan password lemah jadi pintu masuk empuk bagi para pelaku.
Nama “Cephalus” sendiri diambil dari tokoh mitologi Yunani yang dikenal dengan tombak saktinya — simbol keyakinan kelompok ini terhadap tingkat keberhasilan serangan mereka yang tinggi.
Begitu berhasil masuk ke jaringan, Cephalus akan menjalankan rangkaian serangan berurutan: mulai dari menembus sistem, mencuri data sensitif, hingga mengenkripsi seluruh infrastruktur korban.
Yang membuatnya lebih berbahaya, kelompok ini menyesuaikan versi ransomware-nya untuk tiap target, menandakan tingkat kemampuan teknis yang tidak bisa dianggap remeh.
Masih belum jelas apakah Cephalus beroperasi sebagai Ransomware-as-a-Service (RaaS) — yakni model bisnis di mana kode ransomware dijual atau disewakan — atau bekerja sama dengan kelompok lain. Namun, gaya kerja mereka yang terkoordinasi menunjukkan bahwa mereka punya struktur dan strategi yang matang.
Kemampuan Teknis dan Taktik Penghindaran
Ransomware Cephalus dikembangkan menggunakan bahasa pemrograman Go, dan memiliki fitur anti-forensik serta mekanisme penghindaran deteksi yang cukup canggih. Tujuannya sederhana: memastikan proses enkripsi berjalan sempurna tanpa terdeteksi sistem keamanan.
Begitu dijalankan, malware ini langsung menonaktifkan proteksi real-time Windows Defender, menghapus volume shadow copies (cadangan otomatis sistem Windows), dan menghentikan layanan penting seperti Veeam serta Microsoft SQL Server.
Artinya, semua pintu darurat untuk memulihkan data akan langsung tertutup sejak awal serangan.
Cephalus juga menggunakan kombinasi enkripsi AES-CTR (simetris) dengan RSA (publik-kunci) — teknik ganda yang membuat proses pemulihan file korban hampir mustahil tanpa kunci dekripsi dari pelaku.
Menariknya, mereka bahkan menciptakan kunci AES palsu untuk mengelabui alat analisis dan sistem keamanan otomatis. Strategi ini membuat para peneliti keamanan kesulitan membedakan mana proses enkripsi nyata dan mana yang hanya umpan.
Tekanan Ganda untuk Korban
Kalau ransomware lain biasanya hanya mengunci data, Cephalus melangkah lebih jauh. Mereka menyertakan bukti pencurian data dalam catatan tebusan yang dikirim ke korban.
Isinya berupa tautan langsung ke situs penyimpanan file seperti GoFile, di mana data curian korban diunggah sebagai bukti ancaman.
Taktik ini menimbulkan tekanan psikologis ganda bagi perusahaan: bukan cuma kehilangan akses ke data, tapi juga menghadapi ancaman kebocoran informasi sensitif ke publik. Akibatnya, banyak organisasi yang akhirnya memilih untuk membayar tebusan demi mencegah reputasi mereka hancur.
Langkah Pencegahan yang Disarankan
Untuk menghadapi ancaman seperti ini, organisasi perlu meningkatkan postur keamanan sibernya secara menyeluruh.
Berikut beberapa langkah penting yang disarankan para ahli:
-
Aktifkan Multi-Factor Authentication (MFA) di semua akses RDP.
Ini langkah paling dasar namun paling efektif mencegah pencurian kredensial. -
Gunakan password yang kuat dan ubah secara berkala. Hindari penggunaan kata sandi yang sama di beberapa sistem.
-
Pisahkan sistem backup dari jaringan utama. Simpan cadangan data di lokasi offline atau cloud yang terenkripsi.
-
Pantau aktivitas mencurigakan di endpoint. Gunakan solusi EDR (Endpoint Detection and Response) untuk mendeteksi pola serangan lebih awal.
-
Edukasi karyawan agar lebih waspada terhadap upaya phishing dan pencurian kredensial.
Baca Juga : Midnight Ransomware Ternyata Punya Celah, File Bisa Dipulihkan!
Cephalus menunjukkan bahwa kelompok ransomware modern kini semakin pintar dan terorganisir. Dengan memanfaatkan RDP yang tidak aman dan taktik enkripsi canggih, mereka berhasil memperluas serangan dengan cepat dan efektif.
Bagi organisasi, keamanan akses jarak jauh bukan lagi pilihan tambahan, tapi keharusan. Menegakkan kebijakan keamanan, memperbarui sistem, dan membangun budaya waspada siber akan jadi benteng utama agar serangan seperti Cephalus tidak menemukan celah di jaringanmu.
