Tengu/Shisa: RaaS-вымогатель атакует RDP, SMB и ESXi
Tengu Ransomware, сменивший название на Shisa Ransomware в марте 2026 года, представляет собой финансово мотивированную группировку формата Ransomware-as-a-Service (RaaS), впервые выявленную в конце 2025 года. По данным отчета, злоумышленники делают ставку на двойное вымогательство: они не только шифруют данные жертвы, но и предварительно похищают конфиденциальную информацию, усиливая давление на организации.
География атак и модель RaaS
Изначально Tengu фокусировалась на организациях в Ближнем Востоке и Северной Африке, однако позже расширила географию атак, включив жертв в Северной Америке, Европе и Азии. Такая эволюция показывает, что операторов интересуют не отдельные регионы, а максимально широкий набор потенциально платежеспособных целей.
Группа действует по структурированной модели RaaS, предусматривающей:
- разделение доходов 80/20 в пользу аффилированных лиц;
- использование зашифрованной связи через TOX;
- предоставление сборок, совместимых с Windows, Linux и ESXi.
Как работает шифровальщик
ВПО Tengu использует прерывистую технику шифрования, нацеленную прежде всего на заголовки файлов. Такой подход позволяет быстро обрабатывать большие массивы данных и сокращать время, необходимое для нанесения ущерба. Один из заметных инцидентов продемонстрировал эффективность этой схемы: 22,9 ТБ данных были зашифрованы всего за 14 часов.
По итогам шифрования затронутые файлы получают расширение .tengu.
Инструменты эксфильтрации и инфраструктура
Для кражи данных Tengu применяет как собственные, так и общедоступные инструменты. В частности, используются:
- StealTENGU и StealTG — собственные утилиты группировки;
- Rclone и WinSCP — приложения общего назначения для передачи данных;
- MEGA — основной ресурс хранения;
- другие сервисы — для вторичного использования.
Операционный фреймворк злоумышленников построен так, чтобы оставаться как можно менее заметным. Для этого они используют распространенные инструменты и методы, которые имитируют легитимную деятельность и затрудняют обнаружение.
Первоначальный доступ и перемещение внутри сети
Судя по отчету, ключевыми векторами первоначального доступа для Tengu остаются:
- компрометация учетных данных;
- брутфорс-атаки против плохо защищенных интерфейсов RDP и SMB;
- кампании Targeted phishing;
- использование известных уязвимостей, включая ZeroLogon (CVE-2020-1472), для повышения привилегий.
После проникновения в инфраструктуру злоумышленники перемещаются внутри скомпрометированных сетей, используя такие инструменты, как NetExec через SMB и RDP. При этом их действия маскируются под обычный административный трафик, что дополнительно осложняет выявление атаки.
Обход средств защиты и сокрытие следов
Отдельного внимания заслуживает тактика обхода защиты. Tengu отключает средства безопасности, включая Windows Defender, а также очищает журналы событий, чтобы минимизировать вероятность обнаружения до запуска шифровальщика.
Такая последовательность действий позволяет группе сначала завершить эксфильтрацию данных, а затем перейти к полномасштабному шифрованию систем, усиливая эффект двойного вымогательства.
Рекомендации по защите
Чтобы снизить риск атаки со стороны Tengu Ransomware, организациям рекомендуется:
- внедрить многофакторную аутентификацию для служб удаленного доступа;
- устранять известные уязвимости без промедления;
- усилить мониторинг подозрительных попыток аутентификации;
- отслеживать инфраструктуру, связанную с Tengu, и общие индикаторы в базах данных threat intelligence;
- настроить оповещения о необычных шаблонах использования инструментов, характерных для активности ransomware.
Как отмечается в отчете, сосредоточенность на этих направлениях позволяет организациям значительно повысить устойчивость к новой угрозе. В условиях, когда злоумышленники все чаще сочетают кражу данных, шифрование и сокрытие следов, своевременное усиление контроля доступа и мониторинга становится критически важным.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
