SOC Prime Bias: Alto

15 Jun 2026 15:57 UTC
newspaper icon picussecurity.com

Ransomware Tengu: Desde el Acceso Inicial hasta la Cifrado

Author Photo
SOC Prime Team linkedin icon Seguir
Ransomware Tengu: Desde el Acceso Inicial hasta la Cifrado
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

Tengu es una operación de Ransomware como Servicio que sigue un modelo de doble extorsión. Antes de iniciar la encriptación, los atacantes utilizan binarios Living Off the Land para ejecutar cargas útiles y exfiltrar datos sensibles a almacenamiento en la nube de MEGA. Las comunicaciones con las víctimas y las negociaciones de pago se manejan a través de un portal basado en Tor.

Investigación

El informe describe toda la cadena de intrusión de Tengu, comenzando con el acceso inicial a través de phishing o credenciales robadas y terminando con la encriptación de datos. Se enfatiza el uso de utilidades administrativas legítimas como PowerShell y Rclone, que ayudan a los atacantes a mimetizarse con la actividad normal y reducir la posibilidad de detección.

Mitigación

Los equipos de seguridad deben aplicar autenticación multifactor fuerte para reducir el riesgo de abuso de credenciales en servicios RDP y VPN. Las organizaciones también deben monitorear actividades sospechosas de LOLBins, restringir el uso no autorizado de plataformas de almacenamiento en la nube y mantener copias de seguridad regulares fuera de línea que puedan soportar la recuperación.

Respuesta

Si se detecta actividad de Tengu, aísle los sistemas afectados de inmediato para detener el movimiento lateral y la exfiltración adicional de datos. Revise los registros de eventos de Windows y las configuraciones de servicio para detectar modificaciones no autorizadas, y active procedimientos de respuesta a incidentes para determinar el alcance de la exposición de datos y la actividad de encriptación.

graph TB %% Sección de definición de clases classDef initial_access fill:#f9f,stroke:#333,stroke-width:2px classDef execution fill:#bbf,stroke:#333,stroke-width:2px classDef defense_impairment fill:#fbb,stroke:#333,stroke-width:2px classDef exfiltration fill:#bfb,stroke:#333,stroke-width:2px classDef impact fill:#f96,stroke:#333,stroke-width:2px classDef tool fill:#ccc,stroke:#333,stroke-width:1px %% Nodos de acceso inicial access_phishing[«<b>Acción</b> – <b>T1566.002 Phishing: Enlace de Spearphishing</b><br/>Descripción: Envío de enlaces dirigidos a víctimas para obtener acceso.»] class access_phishing initial_access access_exploit[«<b>Acción</b> – <b>T1190 Explotación de Aplicación Pública</b><br/>Descripción: Aprovechamiento de vulnerabilidades en software expuesto a Internet.»] class access_exploit initial_access access_accounts[«<b>Acción</b> – <b>T1078 Cuentas Válidas</b><br/>Descripción: Uso de credenciales robadas para acceder a puntos finales RDP o VPN.»] class access_accounts initial_access op_initial_access((«AND»)) class op_initial_access operator %% Nodos de ejecución y escalada de privilegios exec_powershell[«<b>Acción</b> – <b>T1059.001 Intérprete de Comandos y Scripts: PowerShell</b><br/>Descripción: Ejecución de cargas maliciosas mediante PowerShell.»] class exec_powershell execution exec_cmd[«<b>Acción</b> – <b>T1059.003 Intérprete de Comandos y Scripts: Shell de Comandos de Windows</b><br/>Descripción: Ejecución de comandos mediante cmd.exe.»] class exec_cmd execution exec_rundll32[«<b>Acción</b> – <b>T1218.011 Rundll32</b><br/>Descripción: Ejecución de código malicioso mediante Rundll32.exe.»] class exec_rundll32 execution priv_esc_lsass[«<b>Acción</b> – <b>T1003.001 Volcado de Credenciales del SO: Memoria LSASS</b><br/>Descripción: Extracción de credenciales administrativas desde la memoria LSASS.»] class priv_esc_lsass execution %% Nodos de deterioro de defensas def_disable_tools[«<b>Acción</b> – <b>T1562.001 Deteriorar Defensas: Deshabilitar o Modificar Herramientas</b><br/>Descripción: Deshabilitación de Windows Security Center y Windows Update mediante sc config.»] class def_disable_tools defense_impairment def_clear_logs[«<b>Acción</b> – <b>T1070.001 Eliminación de Indicadores: Borrar Registros de Eventos de Windows</b><br/>Descripción: Eliminación de evidencias forenses mediante wevtutil cl *.»] class def_clear_logs defense_impairment %% Nodos de exfiltración exfil_cloud[«<b>Acción</b> – <b>T1567.002 Exfiltración a Almacenamiento en la Nube</b><br/>Descripción: Transferencia de datos sensibles hacia proveedores cloud.»] class exfil_cloud exfiltration tool_rclone[«<b>Herramienta</b> – <b>Nombre</b>: Rclone / WinSCP<br/>Descripción: Herramientas legítimas utilizadas para transferir datos hacia MEGA.»] class tool_rclone tool %% Nodos de impacto impact_recovery[«<b>Acción</b> – <b>T1490 Impedir la Recuperación del Sistema</b><br/>Descripción: Eliminación de copias sombra mediante vssadmin delete shadows /all /quiet.»] class impact_recovery impact impact_encryption[«<b>Acción</b> – <b>T1486 Datos Cifrados para Impacto</b><br/>Descripción: Cifrado de archivos con extensión .tengu y creación de TENGU_README.txt.»] class impact_encryption impact %% Conexiones access_phishing –>|conduce_a| op_initial_access access_exploit –>|conduce_a| op_initial_access access_accounts –>|conduce_a| op_initial_access op_initial_access –>|conduce_a| exec_powershell op_initial_access –>|conduce_a| exec_cmd op_initial_access –>|conduce_a| exec_rundll32 exec_powershell –>|habilita| priv_esc_lsass exec_cmd –>|habilita| priv_esc_lsass priv_esc_lsass –>|conduce_a| def_disable_tools priv_esc_lsass –>|conduce_a| def_clear_logs def_disable_tools –>|precede_a| exfil_cloud def_clear_logs –>|precede_a| exfil_cloud exfil_cloud –>|usa| tool_rclone tool_rclone –>|conduce_a| impact_recovery impact_recovery –>|conduce_a| impact_encryption

Flujo de Ataque

Ejecución de Simulación

Prerrequisito: La Verificación de Telemetría y Línea de Base Prevuelo debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y deben generar exactamente la telemetría esperada por la lógica de detección. Los ejemplos abstractos o no relacionados llevarán a un diagnóstico incorrecto.

  • Narrativa del Ataque y Comandos: El adversario apunta a iniciar la fase de despliegue del ransomware Tengu. Para evitar la detección por firmas simples de antivirus, utilizan técnicas «Living-off-the-Land» (LotL). El atacante primero usará powershell.exe para descargar una carga útil de preparación y luego usará rundll32.exe para ejecutar un DLL malicioso. Esto imita el comportamiento descrito en la cadena de ataque Tengu, donde se abusan de los binarios legítimos de Windows para realizar acciones maliciosas, intentando así integrarse con la actividad administrativa de rutina.

  • Script de Prueba de Regresión:

    # Script de Simulación de Ejecución de Ransomware Tengu
# Este script simula el uso de LOLBins para activar la regla de detección.

Write-Host "[*] Iniciando Simulación de Ejecución de Ransomware Tengu..." -ForegroundColor Cyan

# 1. Simular una carga útil basada en PowerShell (T1059.001)
Write-Host "[*] Simulando carga útil de PowerShell..." -ForegroundColor Yellow
powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Write-Output 'Simulando descarga de carga útil maliciosa...'"

# 2. Simular reconocimiento basado en CMD (T1059.003)
Write-Host "[*] Simulando reconocimiento basado en CMD..." -ForegroundColor Yellow
cmd.exe /c "whoami /all"

# 3. Simular ejecución de Rundll32 (T1218.011)
Write-Host "[*] Simulando ejecución de DLL maliciosa en Rundll32..." -ForegroundColor Yellow
rundll32.exe javascript:"alert('Ejecución Simulada de Carga Útil Tengu');"

Write-Host "[+] Simulación Completa. Verifique SIEM para ver alertas." -ForegroundColor Green

  • Comandos de Limpieza:

    # No se modificaron archivos o claves de registro permanentes en esta simulación.
# Los comandos ejecutados son ejecuciones de procesos volátiles.
Write-Host "[*] No es necesaria la limpieza ya que no se crearon artefactos persistentes." -ForegroundColor Cyan

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis