SOC Prime Bias: Alto

15 Jun 2026 15:57 UTC

Ransomware Tengu: Do Acesso Inicial à Criptografia

Author Photo
SOC Prime Team linkedin icon Seguir
Ransomware Tengu: Do Acesso Inicial à Criptografia
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Tengu é uma operação de Ransomware como Serviço que segue um modelo de dupla extorsão. Antes de iniciar a criptografia, os atacantes usam Binaries Living Off the Land para executar cargas úteis e exfiltrar dados sensíveis para o armazenamento em nuvem MEGA. As comunicações com as vítimas e negociações de pagamento são realizadas por meio de um portal baseado em Tor.

Investigação

O relatório descreve toda a cadeia de intrusão do Tengu, começando com o acesso inicial por meio de phishing ou credenciais roubadas e terminando com a criptografia de dados. Ele enfatiza o uso de utilitários administrativos legítimos, como PowerShell e Rclone, que ajudam os atacantes a se misturarem à atividade normal e reduzem a chance de detecção.

Mitigação

As equipes de segurança devem impor uma autenticação multifatorial forte para reduzir o risco de abuso de credenciais em serviços RDP e VPN. As organizações também devem monitorar atividades suspeitas de LOLBin, restringir o uso não autorizado de plataformas de armazenamento em nuvem e manter backups regulares offline que possam auxiliar na recuperação.

Resposta

Se atividade do Tengu for detectada, isole imediatamente os sistemas afetados para interromper o movimento lateral e a exfiltração adicional de dados. Revise os Logs de Eventos do Windows e as configurações de serviço para modificações não autorizadas e ative procedimentos de resposta a incidentes para determinar a extensão da exposição e atividade de criptografia de dados.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: A Verificação de Pré-voo de Telemetria & Linha de Base deve ter passado.

Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa do Ataque & Comandos: O adversário visa iniciar a fase de implantação do ransomware Tengu. Para evitar a detecção por assinaturas antivírus simples, eles utilizam técnicas de “Living-off-the-Land” (LotL). O atacante usará primeiro powershell.exe para baixar uma carga útil de estágio e, em seguida, usará rundll32.exe para executar um DLL malicioso. Isso imita o comportamento descrito na cadeia de ataque Tengu, onde binários legítimos do Windows são abusados para realizar ações maliciosas, tentando assim se misturar à atividade administrativa de rotina.

  • Script de Teste de Regressão:

    # Script de Simulação da Execução de Ransomware Tengu
    # Este script simula o uso de LOLBins para acionar a regra de detecção.
    
    Write-Host "[*] Iniciando Simulação de Execução de Ransomware Tengu..." -ForegroundColor Cyan
    
    # 1. Simular estágio de carga útil baseado em PowerShell (T1059.001)
    Write-Host "[*] Simulando estágio de carga útil do PowerShell..." -ForegroundColor Yellow
    powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Write-Output 'Simulando download de carga útil maliciosa...'"
    
    # 2. Simular reconhecimento baseado em CMD (T1059.003)
    Write-Host "[*] Simulando reconhecimento baseado em CMD..." -ForegroundColor Yellow
    cmd.exe /c "whoami /all"
    
    # 3. Simular execução de Rundll32 (T1218.011)
    Write-Host "[*] Simulando execução de DLL maliciosa via Rundll32..." -ForegroundColor Yellow
    rundll32.exe javascript:"alert('Execução Simulada de Carga Tengu');"
    
    Write-Host "[+] Simulação Completa. Verifique alertas no SIEM." -ForegroundColor Green
  • Comandos de Limpeza:

    # Nenhum arquivo permanente ou chave de registro foi modificado nesta simulação.
    # Os comandos executados são execuções de processos voláteis.
    Write-Host "[*] Limpeza desnecessária, pois nenhum artefato persistente foi criado." -ForegroundColor Cyan