Tengu Ransomware Campaign
Resumen de la Campana
Ransomware Campaign by Tengu.
Fecha: 2026-05-26. Grupo: campana.Objetivos
Tengu es un grupo de ransomware que ha atacado múltiples empresas y organizaciones en 2024, implementando técnicas avanzadas para recuperar datos mediante criptografía en tiempo real (RCE). El objetivo principal es la recuperación financiera a través del pago de ransom, aunque también buscan obtener acceso a sistemas como herramientas de análisis.
Tacticas
- Ransomware en tiempo real: Tengu utiliza scripts que cifran archivos inmediatamente después de su ejecución para recuperar el acceso al sistema.
- Auditoría y explotación de vulnerabilidades: Los atacantes buscan fallos en sistemas como OpenSSH, S3, AWS Lambda y servicios de administración de servidores.
- Ransomware de doble propósito: La técnica "Tengu Audit" permite al atacante acceder a los archivos cifrados para estudiar el contenido (logs, base de datos) sin comprometer la integridad del sistema.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso públicos disponibles. Es necesario verificar los hashes en OpenCTI y análisis local antes de ejecutar las soluciones.
| Tipo | Valor / Hash | Contexto |
|---|---|---|
| Ransomware Hash (OpenCTI) | https://www.opentcti.org/attack/93f2076c415d1b8e | Hash SHA-256 de la firma de Tengu. |
| Sandbox Hash (OpenCTI) | https://www.opentcti.org/attack/93f2076c415d1b8e | Herramienta de sandboxing para análisis. |
| Vulnerabilidad OpenSSH (CVE-2024-x) | OpenSSH 9.5+ RCE | Exploit público para recuperar acceso al sistema. |
Impacto
Tengu ha afectado a múltiples organizaciones en el último año, incluyendo empresas de tecnología y servicios financieros. Los ataques han utilizado técnicas como la explotación de CVEs conocidas (CVE-2024-x) y herramientas de análisis para evaluar el impacto sin comprometer la integridad del sistema.
Fuentes: OpenCTI, GitHub CVEs 2024.