Ransomware Tengu: Do Acesso Inicial à Criptografia
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Tengu é uma operação de Ransomware como Serviço que segue um modelo de dupla extorsão. Antes de iniciar a criptografia, os atacantes usam Binaries Living Off the Land para executar cargas úteis e exfiltrar dados sensíveis para o armazenamento em nuvem MEGA. As comunicações com as vítimas e negociações de pagamento são realizadas por meio de um portal baseado em Tor.
Investigação
O relatório descreve toda a cadeia de intrusão do Tengu, começando com o acesso inicial por meio de phishing ou credenciais roubadas e terminando com a criptografia de dados. Ele enfatiza o uso de utilitários administrativos legítimos, como PowerShell e Rclone, que ajudam os atacantes a se misturarem à atividade normal e reduzem a chance de detecção.
Mitigação
As equipes de segurança devem impor uma autenticação multifatorial forte para reduzir o risco de abuso de credenciais em serviços RDP e VPN. As organizações também devem monitorar atividades suspeitas de LOLBin, restringir o uso não autorizado de plataformas de armazenamento em nuvem e manter backups regulares offline que possam auxiliar na recuperação.
Resposta
Se atividade do Tengu for detectada, isole imediatamente os sistemas afetados para interromper o movimento lateral e a exfiltração adicional de dados. Revise os Logs de Eventos do Windows e as configurações de serviço para modificações não autorizadas e ative procedimentos de resposta a incidentes para determinar a extensão da exposição e atividade de criptografia de dados.
Fluxo de Ataque
Detecções
Possível Exfiltração de Dados através da Ferramenta Rclone (via linha de comando)
Visualizar
Atividade Possível de Evasão de Defesa por Uso Suspeito de Wevtutil (via linha de comando)
Visualizar
Atividade Suspeita de VSSADMIN (via linha de comando)
Visualizar
Execução de Ransomware Tengu Usando LOLBins [Criação de Processo Windows]
Visualizar
Execução de Simulação
Pré-requisito: A Verificação de Pré-voo de Telemetria & Linha de Base deve ter passado.
Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa do Ataque & Comandos: O adversário visa iniciar a fase de implantação do ransomware Tengu. Para evitar a detecção por assinaturas antivírus simples, eles utilizam técnicas de “Living-off-the-Land” (LotL). O atacante usará primeiro
powershell.exepara baixar uma carga útil de estágio e, em seguida, usarárundll32.exepara executar um DLL malicioso. Isso imita o comportamento descrito na cadeia de ataque Tengu, onde binários legítimos do Windows são abusados para realizar ações maliciosas, tentando assim se misturar à atividade administrativa de rotina. -
Script de Teste de Regressão:
# Script de Simulação da Execução de Ransomware Tengu # Este script simula o uso de LOLBins para acionar a regra de detecção. Write-Host "[*] Iniciando Simulação de Execução de Ransomware Tengu..." -ForegroundColor Cyan # 1. Simular estágio de carga útil baseado em PowerShell (T1059.001) Write-Host "[*] Simulando estágio de carga útil do PowerShell..." -ForegroundColor Yellow powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Write-Output 'Simulando download de carga útil maliciosa...'" # 2. Simular reconhecimento baseado em CMD (T1059.003) Write-Host "[*] Simulando reconhecimento baseado em CMD..." -ForegroundColor Yellow cmd.exe /c "whoami /all" # 3. Simular execução de Rundll32 (T1218.011) Write-Host "[*] Simulando execução de DLL maliciosa via Rundll32..." -ForegroundColor Yellow rundll32.exe javascript:"alert('Execução Simulada de Carga Tengu');" Write-Host "[+] Simulação Completa. Verifique alertas no SIEM." -ForegroundColor Green -
Comandos de Limpeza:
# Nenhum arquivo permanente ou chave de registro foi modificado nesta simulação. # Os comandos executados são execuções de processos voláteis. Write-Host "[*] Limpeza desnecessária, pois nenhum artefato persistente foi criado." -ForegroundColor Cyan