Новая группа программ-вымогателей Tengu нацеливается на промышленность и использует старые уязвимости

В цифровых тенях активизировалась новая, но уже демонстрирующая высокую оперативную подготовку группировка, использующая программы-вымогатели. Под именем Tengu, отсылающим к японской мифологии, злоумышленники с октября 2025 года атаковали десятки компаний по всему миру, уделяя особое внимание технологическому и производственному секторам. Анализ их деятельности, проведённый экспертами по киберугрозам, выявил не только агрессивную тактику двойного шантажа, но и использование давно известных, но до сих пор не закрытых уязвимостей, что служит суровым напоминанием о важности базовой гигиены безопасности.

Описание

Изначально группа, появившаяся в октябре 2025 года, демонстрировала необычный географический фокус, разместив на своей площадке для утечек данных (Data Leak Site) первых жертв преимущественно из стран Ближнего Востока. Однако вскоре эта тенденция смешалась с общей статистикой, и в списках пострадавших оказались организации из США, Европы и Азии. Всего за несколько месяцев активности Tengu заявили о компрометации 47 жертв. Любопытный инцидент связан с первой из них - катарской газовой компанией, которую злоумышленники ошибочно идентифицировали как иранскую. Причиной, вероятно, стали иранские документы, обнаруженные в утекших данных, что указывает на сложные корпоративные связи или возможное проникновение через цепочку поставок.

Группа постоянно развивает свою инфраструктуру. В конце января 2026 года они провели редизайн своей DLS-площадки в сети Tor, а также развернули отдельный файловый сервер для хранения похищенной информации. Общий объём данных на нём, по оценкам, превышает 450 ГБ. Для управления утечками используется собственный инструмент под названием StealTENGU. Важной частью бизнес-модели является партнёрская программа (аффилиатская), где разработчики получают 20% от выкупа, а исполнители - 80%. Для атак доступны сборки под Windows, Linux и виртуальные машины ESXi. В своих методах группа использует так называемое частичное (интермитентное) шифрование, которое повреждает заголовки файлов, делая их нечитаемыми, но происходит значительно быстрее полного, что позволяет шифровать огромные массивы данных за часы.

Особый интерес представляют тактики, техники и процедуры (TTP), раскрытые в ходе анализа. Исследователи обнаружили детальные логи атак, указывающие на активное использование брутфорса (подбора паролей) для протоколов RDP и SMB. Для этого применялись как резидентные прокси, так и IP-адреса, связанные с хостинг-провайдерами, известными попустительским отношением к злонамеренной активности, такими как Flyservers S.A. и MEVSPACE. Среди ключевых находок - команда, используемая для латерального перемещения по сети и поиска программных продуктов Fortinet: "nxc smb <target_ip> -u caja -p caja -x “sc query | findstr /i fort”". Использование учётных данных «caja» (что переводится как «касса» или «сейф») является распространённым приёмом в атаках программ-вымогателей.

Более того, группе удалось успешно эксплуатировать критическую уязвимость ZeroLogon (CVE-2020-1472) на контроллере домена. В одном из случаев это привело к курьёзной ситуации: злоумышленники зашифровали только контроллер домена, ошибочно полагая, что это парализует всю сеть. Осознав ошибку, они использовали привилегии, полученные благодаря ZeroLogon, для корректного развёртывания шифровальщика на всех узлах. Этот эпизод подчёркивает, насколько опасными остаются неисправленные старые уязвимости, даже спустя годы после публикации заплаток. Эксперты также смогли идентифицировать реальный IP-адрес, скрывающийся за их анонимной DLS-площадкой в Tor - 194.163.154[.]33, размещённый у хостинг-провайдера Contabo во Франции.

Поведение группы содержит элементы психологического давления. На страницах жертв они публикуют не только образцы конфиденциальных документов и таймер до полной публикации данных, но и логи переговоров о выкупе с другими компаниями. Это служит предупреждением для новых жертв о серьёзности намерений злоумышленников. Примечательно, что Tengu публично заявили об отказе от атак на религиозные учреждения, удалив данные одной из таких организаций в Японии, что может быть частью попытки формирования определённого имиджа.

Для специалистов по информационной безопасности данный случай является комплексным напоминанием о фундаментальных мерах защиты. Критически важно регулярно обновлять ПО, особенно на критических системах вроде контроллеров домена, чтобы закрывать такие уязвимости, как ZeroLogon. Необходимо внедрять строгую политику паролей и многофакторную аутентификацию для всех внешних сервисов, включая RDP и VPN, чтобы противостоять брутфорс-атакам. Мониторинг сетевой активности на предмет подозрительных IP-адресов из указанных подсетей, а также поиск в среде учётных записей с именами вроде «caja» могут помочь в раннем обнаружении угрозы. Группа Tengu, несмотря на свою относительную новизну, демонстрирует все признаки профессиональной операционной деятельности и, скорее всего, продолжит активность, эксплуатируя пробелы в базовой защите организаций по всему миру.