SOC Prime Bias: Alto

15 Jun 2026 15:57 UTC
newspaper icon picussecurity.com

Ransomware Tengu: Do Acesso Inicial à Criptografia

Author Photo
SOC Prime Team linkedin icon Seguir
Ransomware Tengu: Do Acesso Inicial à Criptografia
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

Tengu é uma operação de Ransomware como Serviço que segue um modelo de dupla extorsão. Antes de iniciar a criptografia, os atacantes usam Binaries Living Off the Land para executar cargas úteis e exfiltrar dados sensíveis para o armazenamento em nuvem MEGA. As comunicações com as vítimas e negociações de pagamento são realizadas por meio de um portal baseado em Tor.

Investigação

O relatório descreve toda a cadeia de intrusão do Tengu, começando com o acesso inicial por meio de phishing ou credenciais roubadas e terminando com a criptografia de dados. Ele enfatiza o uso de utilitários administrativos legítimos, como PowerShell e Rclone, que ajudam os atacantes a se misturarem à atividade normal e reduzem a chance de detecção.

Mitigação

As equipes de segurança devem impor uma autenticação multifatorial forte para reduzir o risco de abuso de credenciais em serviços RDP e VPN. As organizações também devem monitorar atividades suspeitas de LOLBin, restringir o uso não autorizado de plataformas de armazenamento em nuvem e manter backups regulares offline que possam auxiliar na recuperação.

Resposta

Se atividade do Tengu for detectada, isole imediatamente os sistemas afetados para interromper o movimento lateral e a exfiltração adicional de dados. Revise os Logs de Eventos do Windows e as configurações de serviço para modificações não autorizadas e ative procedimentos de resposta a incidentes para determinar a extensão da exposição e atividade de criptografia de dados.

graph TB %% Seção de definição das classes classDef initial_access fill:#f9f,stroke:#333,stroke-width:2px classDef execution fill:#bbf,stroke:#333,stroke-width:2px classDef defense_impairment fill:#fbb,stroke:#333,stroke-width:2px classDef exfiltration fill:#bfb,stroke:#333,stroke-width:2px classDef impact fill:#f96,stroke:#333,stroke-width:2px classDef tool fill:#ccc,stroke:#333,stroke-width:1px %% Nós de acesso inicial access_phishing[“<b>Ação</b> – <b>T1566.002 Phishing: Link de Spearphishing</b><br/>Descrição: Envio de links direcionados às vítimas para obter acesso.”] class access_phishing initial_access access_exploit[“<b>Ação</b> – <b>T1190 Exploração de Aplicação Exposta Publicamente</b><br/>Descrição: Exploração de vulnerabilidades em software acessível pela Internet.”] class access_exploit initial_access access_accounts[“<b>Ação</b> – <b>T1078 Contas Válidas</b><br/>Descrição: Uso de credenciais roubadas para acessar endpoints RDP ou VPN.”] class access_accounts initial_access op_initial_access((“AND”)) class op_initial_access operator %% Nós de execução e escalonamento de privilégios exec_powershell[“<b>Ação</b> – <b>T1059.001 Interpretador de Comandos e Scripts: PowerShell</b><br/>Descrição: Execução de cargas maliciosas usando PowerShell.”] class exec_powershell execution exec_cmd[“<b>Ação</b> – <b>T1059.003 Interpretador de Comandos e Scripts: Shell de Comando do Windows</b><br/>Descrição: Execução de comandos através do cmd.exe.”] class exec_cmd execution exec_rundll32[“<b>Ação</b> – <b>T1218.011 Rundll32</b><br/>Descrição: Execução de código malicioso através do Rundll32.exe.”] class exec_rundll32 execution priv_esc_lsass[“<b>Ação</b> – <b>T1003.001 Extração de Credenciais do SO: Memória LSASS</b><br/>Descrição: Coleta de credenciais administrativas da memória LSASS.”] class priv_esc_lsass execution %% Nós de comprometimento das defesas def_disable_tools[“<b>Ação</b> – <b>T1562.001 Prejudicar Defesas: Desativar ou Modificar Ferramentas</b><br/>Descrição: Desativação do Windows Security Center e Windows Update usando sc config.”] class def_disable_tools defense_impairment def_clear_logs[“<b>Ação</b> – <b>T1070.001 Remoção de Indicadores: Limpar Logs de Eventos do Windows</b><br/>Descrição: Destruição de evidências forenses usando wevtutil cl *.”] class def_clear_logs defense_impairment %% Nós de exfiltração exfil_cloud[“<b>Ação</b> – <b>T1567.002 Exfiltração para Armazenamento em Nuvem</b><br/>Descrição: Transferência de dados sensíveis para provedores de nuvem.”] class exfil_cloud exfiltration tool_rclone[“<b>Ferramenta</b> – <b>Nome</b>: Rclone / WinSCP<br/>Descrição: Ferramentas legítimas usadas para transferir dados para MEGA.”] class tool_rclone tool %% Nós de impacto impact_recovery[“<b>Ação</b> – <b>T1490 Inibir Recuperação do Sistema</b><br/>Descrição: Exclusão de cópias de sombra usando vssadmin delete shadows /all /quiet.”] class impact_recovery impact impact_encryption[“<b>Ação</b> – <b>T1486 Dados Criptografados para Impacto</b><br/>Descrição: Criptografia de arquivos com extensão .tengu e criação do TENGU_README.txt.”] class impact_encryption impact %% Conexões access_phishing –>|leva_a| op_initial_access access_exploit –>|leva_a| op_initial_access access_accounts –>|leva_a| op_initial_access op_initial_access –>|leva_a| exec_powershell op_initial_access –>|leva_a| exec_cmd op_initial_access –>|leva_a| exec_rundll32 exec_powershell –>|habilita| priv_esc_lsass exec_cmd –>|habilita| priv_esc_lsass priv_esc_lsass –>|leva_a| def_disable_tools priv_esc_lsass –>|leva_a| def_clear_logs def_disable_tools –>|precede| exfil_cloud def_clear_logs –>|precede| exfil_cloud exfil_cloud –>|usa| tool_rclone tool_rclone –>|leva_a| impact_recovery impact_recovery –>|leva_a| impact_encryption

Fluxo de Ataque

Execução de Simulação

Pré-requisito: A Verificação de Pré-voo de Telemetria & Linha de Base deve ter passado.

Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa do Ataque & Comandos: O adversário visa iniciar a fase de implantação do ransomware Tengu. Para evitar a detecção por assinaturas antivírus simples, eles utilizam técnicas de “Living-off-the-Land” (LotL). O atacante usará primeiro powershell.exe para baixar uma carga útil de estágio e, em seguida, usará rundll32.exe para executar um DLL malicioso. Isso imita o comportamento descrito na cadeia de ataque Tengu, onde binários legítimos do Windows são abusados para realizar ações maliciosas, tentando assim se misturar à atividade administrativa de rotina.

  • Script de Teste de Regressão:

    # Script de Simulação da Execução de Ransomware Tengu
# Este script simula o uso de LOLBins para acionar a regra de detecção.

Write-Host "[*] Iniciando Simulação de Execução de Ransomware Tengu..." -ForegroundColor Cyan

# 1. Simular estágio de carga útil baseado em PowerShell (T1059.001)
Write-Host "[*] Simulando estágio de carga útil do PowerShell..." -ForegroundColor Yellow
powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Write-Output 'Simulando download de carga útil maliciosa...'"

# 2. Simular reconhecimento baseado em CMD (T1059.003)
Write-Host "[*] Simulando reconhecimento baseado em CMD..." -ForegroundColor Yellow
cmd.exe /c "whoami /all"

# 3. Simular execução de Rundll32 (T1218.011)
Write-Host "[*] Simulando execução de DLL maliciosa via Rundll32..." -ForegroundColor Yellow
rundll32.exe javascript:"alert('Execução Simulada de Carga Tengu');"

Write-Host "[+] Simulação Completa. Verifique alertas no SIEM." -ForegroundColor Green

  • Comandos de Limpeza:

    # Nenhum arquivo permanente ou chave de registro foi modificado nesta simulação.
# Os comandos executados são execuções de processos voláteis.
Write-Host "[*] Limpeza desnecessária, pois nenhum artefato persistente foi criado." -ForegroundColor Cyan

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente