Montag · 15.06.2026 Ausgabe 2736 RSS
CyberDeutsch
Nachrichten Cybersicherheit täglich
Aktuelle Cybersicherheit-Nachrichten auf Deutsch.
Inaktiv · 100 Tage inaktiv Ransomware-Gruppe · Profil

Tengu

49Opfer gesamt
0Opfer (30 Tage)
23.10.2025Erstes Auftreten
InaktivStatus

Überblick

Tengu ist eine Ransomware-as-a-Service-Operation, die nach dem Modell der doppelten Erpressung („Double Extortion“) vorgeht: Vor der eigentlichen Verschlüsselung werden Daten aus den kompromittierten Netzwerken abgezogen, um den Druck auf die Betroffenen durch eine angedrohte Veröffentlichung zu erhöhen. Kennzeichnend für die Gruppe ist die Nutzung sogenannter Living-off-the-Land-Binaries (LOLBins) – also legitimer, im System ohnehin vorhandener Programme –, um die schädlichen Aktivitäten im regulären administrativen Datenverkehr zu verbergen und einer Entdeckung zu entgehen. Im Fokus der Angriffe stehen Einrichtungen unterschiedlicher Branchen, darunter Konsumgüter, Immobilienwirtschaft, Automobilsektor, Gesundheitswesen sowie der IT-Bereich. Durch das gezielte Verschmelzen mit normalem Verwaltungsverkehr hebt sich Tengu von Operationen ab, die auf auffälligere, eigenständige Schadwerkzeuge setzen.

Taktiken & Vorgehen

Den Erstzugang verschafft sich Tengu über gültige Zugangsdaten („Valid Accounts“), die aus Infostealern oder von Initial Access Brokern (IABs) stammen. Zur Ausführung kommt intensiv PowerShell zum Einsatz, ergänzt durch die Windows-Eingabeaufforderung (CMD). Persistenz wird über geplante Aufgaben („Scheduled Tasks“) mit SYSTEM-Rechten hergestellt, um eine erneute Infektion sicherzustellen. Zur Verschleierung werden Ereignisprotokolle bereinigt und „rundll32.exe“ für die Proxy-Ausführung von Code genutzt. Die seitliche Bewegung im Netzwerk erfolgt nach Erbeutung administrativer Zugangsdaten über das Remote Desktop Protocol (RDP). Vor der Verschlüsselung werden Daten über C2-Kanäle exfiltriert; abschließend verschlüsselt die Gruppe Dateien und löscht die Schattenkopien, um eine lokale Wiederherstellung zu verhindern.

Schutzmaßnahmen

Da der Erstzugang über entwendete gültige Zugangsdaten erfolgt, sollten Konten durch Mehr-Faktor-Authentisierung abgesichert und auf Anzeichen einer Kompromittierung durch Infostealer überwacht werden. Fernzugänge über RDP sollten eingeschränkt, über VPN gekapselt und ebenfalls mit Mehr-Faktor-Authentisierung versehen werden. Die Ausführung von PowerShell und CMD sollte protokolliert und eingeschränkt werden; der missbräuchliche Aufruf von „rundll32.exe“ sowie das Anlegen geplanter Aufgaben mit SYSTEM-Rechten sollten überwacht werden. Ereignisprotokolle sollten zentral und manipulationssicher gesichert werden, um ein Bereinigen durch die Angreifer zu erkennen. Zudem sollten der Schutz der Schattenkopien gegen Löschung sowie eine Überwachung ungewöhnlicher Datenabflüsse über C2-Kanäle eingerichtet werden.

Chronologie

  1. 23.10.2025 Erste bekannte Aktivität
  2. 07.03.2026 Zuletzt aktiv

Erwähnt in

  • Noch kein Artikel verlinkt — die Verknüpfung entsteht automatisch, sobald ein Beitrag den Gruppennamen nennt.