Ransomware Tengu: Dall’accesso iniziale alla crittografia
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Tengu è un’operazione di Ransomware-as-a-Service che segue un modello di doppia estorsione. Prima di avviare la crittografia, gli attaccanti utilizzano Living Off the Land Binaries per eseguire payload ed esfiltrare dati sensibili sul cloud storage MEGA. Le comunicazioni con le vittime e le negoziazioni dei pagamenti vengono gestite tramite un portale basato su Tor.
Indagine
Il rapporto delinea l’intera catena di intrusione di Tengu, a partire dall’accesso iniziale tramite phishing o credenziali rubate e terminando con la crittografia dei dati. Sottolinea l’uso di utility amministrative legittime come PowerShell e Rclone, che aiutano gli attaccanti a mimetizzarsi con l’attività normale e ridurre la possibilità di rilevamento.
Mitigazione
I team di sicurezza dovrebbero imporre un’autenticazione a più fattori forte per ridurre il rischio di abuso delle credenziali sui servizi RDP e VPN. Le organizzazioni dovrebbero anche monitorare per attività sospette LOLBin, limitare l’uso non autorizzato delle piattaforme di cloud storage e mantenere backup offline regolari che possano supportare il recupero.
Risposta
Se viene rilevata un’attività di Tengu, isolare immediatamente i sistemi colpiti per fermare il movimento laterale e l’ulteriore esfiltrazione dei dati. Esaminare i registri degli eventi di Windows e le configurazioni dei servizi per modifiche non autorizzate e attivare le procedure di risposta agli incidenti per determinare l’estensione dell’esposizione dei dati e dell’attività di crittografia.
Flusso di Attacco
Rilevamenti
Possibile Esfiltrazione dei Dati tramite Rclone Tool (via cmdline)
Visualizza
Possibile Attività di Evasione della Difesa tramite Uso Sospetto di Wevtutil (via cmdline)
Visualizza
Attività Sospetta di VSSADMIN (via cmdline)
Visualizza
Esecuzione del Ransomware Tengu Utilizzando LOLBins [Creazione Processo Windows]
Visualizza
Esecuzione delle Simulazioni
Requisito: Il controllo pre-volo di Telemetria e Baseline deve essere stato superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTPs identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrativa e Comandi dell’Attacco: L’avversario intende avviare la fase di distribuzione del ransomware Tengu. Per evitare il rilevamento da parte di semplici firme antivirus, utilizzano tecniche “Living-off-the-Land” (LotL). L’attaccante userà inizialmente
powershell.exeper scaricare un payload di staging e poi useràrundll32.exeper eseguire un DLL maligno. Questo imita il comportamento descritto nella catena di attacco Tengu, dove binari legittimi di Windows sono abusati per eseguire azioni malevoli, cercando così di mimetizzarsi con l’attività amministrativa di routine. -
Script di Test di Regressione:
# Script di Simulazione Esecuzione Ransomware Tengu # Questo script simula l'uso di LOLBins per attivare la regola di rilevamento. Write-Host "[*] Avvio della Simulazione di Esecuzione Ransomware Tengu..." -ForegroundColor Cyan # 1. Simulazione del payload staging basato su PowerShell (T1059.001) Write-Host "[*] Simulazione del payload staging basato su PowerShell..." -ForegroundColor Yellow powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Write-Output 'Simulazione download di payload malevolo...'" # 2. Simulazione di ricognizione basata su CMD (T1059.003) Write-Host "[*] Simulazione di ricognizione basata su CMD..." -ForegroundColor Yellow cmd.exe /c "whoami /all" # 3. Simulazione di esecuzione Rundll32 (T1218.011) Write-Host "[*] Simulazione di esecuzione DLL malevolo Rundll32..." -ForegroundColor Yellow rundll32.exe javascript:"alert('Esecuzione simulata di Payload Tengu');" Write-Host "[+] Simulazione Completa. Controllare SIEM per avvisi." -ForegroundColor Green -
Comandi di Cleanup:
# Nessun file permanente o chiavi di registro sono stati modificati in questa simulazione. # I comandi eseguiti sono esecuzioni di processi volatili. Write-Host "[*] Nessun cleanup necessario poiché non sono stati creati artefatti persistenti." -ForegroundColor Cyan