SOC Prime Bias: Élevé

15 Jun 2026 15:57 UTC

Tengu Ransomware: De l’accès initial au chiffrement

Author Photo
SOC Prime Team linkedin icon Suivre
Tengu Ransomware: De l’accès initial au chiffrement
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Tengu est une opération de Ransomware-as-a-Service qui suit un modèle de double extorsion. Avant de lancer le chiffrement, les attaquants utilisent des binaires existants (Living Off the Land Binaries) pour exécuter des charges utiles et exfiltrer des données sensibles vers le stockage cloud MEGA. La communication avec les victimes et les négociations de paiement se font via un portail basé sur Tor.

Enquête

Le rapport décrit la chaîne complète d’intrusion de Tengu, en commençant par l’accès initial par hameçonnage ou par des identifiants volés et en terminant par le chiffrement des données. Il met l’accent sur l’utilisation d’utilitaires administratifs légitimes tels que PowerShell et Rclone, qui permettent aux attaquants de se fondre dans l’activité normale et de réduire les chances de détection.

Atténuation

Les équipes de sécurité doivent appliquer une authentification multi-facteurs robuste pour réduire le risque d’abus d’identifiants sur les services RDP et VPN. Les organisations doivent également surveiller l’activité suspecte des LOLBins, restreindre l’utilisation non autorisée des plateformes de stockage cloud et maintenir des sauvegardes régulières hors ligne qui peuvent soutenir la récupération.

Réponse

Si une activité Tengu est détectée, isolez immédiatement les systèmes affectés pour arrêter le mouvement latéral et l’exfiltration de données supplémentaires. Analysez les journaux d’événements Windows et les configurations de services pour détecter les modifications non autorisées, et activez les procédures de réponse aux incidents pour déterminer l’étendue de l’exposition des données et de l’activité de chiffrement.

Flux d’attaque

Exécution de la simulation

Prérequis : Le contrôle préalable de télémétrie et de base doit avoir été réussi.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et les récits DOIVENT refléter directement les TTPs identifiés et viser à générer exactement la télémétrie attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront des erreurs de diagnostic.

  • Narration d’attaque et commandes : L’adversaire vise à initier la phase de déploiement du ransomware Tengu. Pour éviter la détection par de simples signatures antivirus, ils utilisent des techniques de « Living-off-the-Land » (LotL). L’attaquant utilisera d’abord powershell.exe pour télécharger une charge utile de mise en scène, puis utilisera rundll32.exe pour exécuter une DLL malveillante. Cela imite le comportement décrit dans la chaîne d’attaque Tengu, où des binaires Windows légitimes sont utilisés de manière malveillante, tentant ainsi de se fondre dans l’activité administrative de routine.

  • Script de test de régression :

    # Script de simulation d'exécution du ransomware Tengu
    # Ce script simule l'utilisation des LOLBins pour déclencher la règle de détection.
    
    Write-Host "[*] Démarrage de la simulation d'exécution du ransomware Tengu..." -ForegroundColor Cyan
    
    # 1. Simuler une mise en scène de charge utile via PowerShell (T1059.001)
    Write-Host "[*] Simulation de la mise en scène de la charge utile PowerShell..." -ForegroundColor Yellow
    powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Write-Output 'Simulation du téléchargement d'une charge utile malveillante...'"
    
    # 2. Simuler une reconnaissance basée sur CMD (T1059.003)
    Write-Host "[*] Simulation de la reconnaissance basée sur CMD..." -ForegroundColor Yellow
    cmd.exe /c "whoami /all"
    
    # 3. Simuler l'exécution de Rundll32 (T1218.011)
    Write-Host "[*] Simulation de l'exécution d'une DLL malveillante via Rundll32..." -ForegroundColor Yellow
    rundll32.exe javascript:"alert('Exécution simulée de la charge utile Tengu');"
    
    Write-Host "[+] Simulation complète. Vérifiez les alertes dans le SIEM." -ForegroundColor Green
  • Commandes de nettoyage :

    # Aucun fichier permanent ou clé de registre n'a été modifié dans cette simulation.
    # Les commandes exécutées sont des processus volatils.
    Write-Host "[*] Nettoyage inutile car aucun artefact persistant n'a été créé." -ForegroundColor Cyan