Ransomware Tengu: Desde el Acceso Inicial hasta la Cifrado
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Tengu es una operación de Ransomware como Servicio que sigue un modelo de doble extorsión. Antes de iniciar la encriptación, los atacantes utilizan binarios Living Off the Land para ejecutar cargas útiles y exfiltrar datos sensibles a almacenamiento en la nube de MEGA. Las comunicaciones con las víctimas y las negociaciones de pago se manejan a través de un portal basado en Tor.
Investigación
El informe describe toda la cadena de intrusión de Tengu, comenzando con el acceso inicial a través de phishing o credenciales robadas y terminando con la encriptación de datos. Se enfatiza el uso de utilidades administrativas legítimas como PowerShell y Rclone, que ayudan a los atacantes a mimetizarse con la actividad normal y reducir la posibilidad de detección.
Mitigación
Los equipos de seguridad deben aplicar autenticación multifactor fuerte para reducir el riesgo de abuso de credenciales en servicios RDP y VPN. Las organizaciones también deben monitorear actividades sospechosas de LOLBins, restringir el uso no autorizado de plataformas de almacenamiento en la nube y mantener copias de seguridad regulares fuera de línea que puedan soportar la recuperación.
Respuesta
Si se detecta actividad de Tengu, aísle los sistemas afectados de inmediato para detener el movimiento lateral y la exfiltración adicional de datos. Revise los registros de eventos de Windows y las configuraciones de servicio para detectar modificaciones no autorizadas, y active procedimientos de respuesta a incidentes para determinar el alcance de la exposición de datos y la actividad de encriptación.
Flujo de Ataque
Detecciones
Posible Exfiltración de Datos mediante la Herramienta Rclone (a través de la línea de comandos)
Ver
Posible Actividad de Evasión de Defensa por Uso Sospechoso de Wevtutil (a través de la línea de comandos)
Ver
Actividad Sospechosa de VSSADMIN (a través de la línea de comandos)
Ver
Ejecución de Ransomware Tengu Usando LOLBins [Creación de Procesos de Windows]
Ver
Ejecución de Simulación
Prerrequisito: La Verificación de Telemetría y Línea de Base Prevuelo debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y deben generar exactamente la telemetría esperada por la lógica de detección. Los ejemplos abstractos o no relacionados llevarán a un diagnóstico incorrecto.
-
Narrativa del Ataque y Comandos: El adversario apunta a iniciar la fase de despliegue del ransomware Tengu. Para evitar la detección por firmas simples de antivirus, utilizan técnicas «Living-off-the-Land» (LotL). El atacante primero usará
powershell.exepara descargar una carga útil de preparación y luego usarárundll32.exepara ejecutar un DLL malicioso. Esto imita el comportamiento descrito en la cadena de ataque Tengu, donde se abusan de los binarios legítimos de Windows para realizar acciones maliciosas, intentando así integrarse con la actividad administrativa de rutina. -
Script de Prueba de Regresión:
# Script de Simulación de Ejecución de Ransomware Tengu # Este script simula el uso de LOLBins para activar la regla de detección. Write-Host "[*] Iniciando Simulación de Ejecución de Ransomware Tengu..." -ForegroundColor Cyan # 1. Simular una carga útil basada en PowerShell (T1059.001) Write-Host "[*] Simulando carga útil de PowerShell..." -ForegroundColor Yellow powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Write-Output 'Simulando descarga de carga útil maliciosa...'" # 2. Simular reconocimiento basado en CMD (T1059.003) Write-Host "[*] Simulando reconocimiento basado en CMD..." -ForegroundColor Yellow cmd.exe /c "whoami /all" # 3. Simular ejecución de Rundll32 (T1218.011) Write-Host "[*] Simulando ejecución de DLL maliciosa en Rundll32..." -ForegroundColor Yellow rundll32.exe javascript:"alert('Ejecución Simulada de Carga Útil Tengu');" Write-Host "[+] Simulación Completa. Verifique SIEM para ver alertas." -ForegroundColor Green -
Comandos de Limpieza:
# No se modificaron archivos o claves de registro permanentes en esta simulación. # Los comandos ejecutados son ejecuciones de procesos volátiles. Write-Host "[*] No es necesaria la limpieza ya que no se crearon artefactos persistentes." -ForegroundColor Cyan