DE
EN
Tengu ist eine moderne Ransomware-Variante, die etwa im Oktober 2025 aufgetaucht ist und sich schnell als aktive Cyberbedrohung in mehreren Regionen etabliert hat. Als Ransomware-as-a-Service-(RaaS)-Modell ermöglicht Tengu Affiliates, Angriffe mit gemeinsam genutzter Infrastruktur und Tooling durchzuführen. Nach der Bereitstellung verschlüsselt die Malware die Daten der Opfer und hängt die Ransomware-Dateiendung „.tengu“ an betroffene Dateien an, wodurch diese unzugänglich werden.
Aktuelle Aktivitäten deuten darauf hin, dass Tengu Organisationen in Nordamerika, Europa und weiteren Regionen weltweit ins Visier genommen hat, darunter bestätigte Vorfälle wie der Angriff auf Samson Equipment im Januar 2026. Die Gruppe folgt einem etablierten Double-Extortion-Modell und kombiniert Dateiverschlüsselung mit Datenexfiltration, um den Druck auf die Opfer zu erhöhen.
Informationen zu „Tengu Ransomware“
| Ransomware-Name | Tengu-Ransomware |
|---|---|
| Erstmals entdeckt/gemeldet | Oktober 2025 |
| Betroffenes Betriebssystem | Windows |
| Dateierweiterung | .tengu |
| Lösegeldforderung | TENGU.README.txt / [random].README.txt |
| Bedrohungsmodell | Ransomware-as-a-Service (RaaS), Double Extortion |
So funktioniert die Tengu-Ransomware
Die Tengu-Ransomware folgt einem strukturierten Intrusion-Lifecycle, wie er bei modernen Enterprise-Ransomware-Angriffen häufig zu beobachten ist. Der Erstzugang erfolgt typischerweise über kompromittierte Zugangsdaten, exponierte Remote-Services wie RDP oder VPN ohne MFA oder über Phishing-Kampagnen. Sobald die Angreifer im Netzwerk sind, führen sie eine Aufklärung durch, um besonders wertvolle Systeme und sensible Daten zu identifizieren.
Die Gruppe setzt stark auf „Living-off-the-Land“-Techniken und nutzt legitime Tools wie PowerShell und Kommandozeilen-Utilities, um Befehle auszuführen und der Erkennung zu entgehen. Zur Abwehrumgehung gehören das Deaktivieren von Sicherheitswerkzeugen, das Löschen von Ereignisprotokollen und die Manipulation von Systemdiensten. Persistenz wird über Registry-Run-Keys und geplante Tasks hergestellt.
Vor der Verschlüsselung exfiltrieren Angreifer häufig sensible Daten mit Tools wie Rclone oder WinSCP. Dies ermöglicht Double Extortion – die Drohung sowohl mit Datenverlust als auch mit öffentlicher Veröffentlichung. In der anschließenden Verschlüsselungsphase werden Dateien auf Endpoints und Servern gesperrt, gefolgt von Lösegeldnotizen, die Opfer zu Tor-basierten Verhandlungsportalen leiten.
Technische Indikatoren und Angriffsartefakte
Die Analyse der Tengu-Ransomware-Aktivitäten zeigt mehrere identifizierbare Artefakte, die bei Erkennung und Reaktion unterstützen können. Diese Indikatoren sind überwiegend hostbasiert und spiegeln eher Aktivitäten nach der Kompromittierung als initiale Zugriffsvektoren wider.
- Dateiartefakte wie wraithnet_bot.exe, controller_gui.exe und zugehörige Logs, die in Systemverzeichnissen abgelegt werden
- Registry-Persistenzschlüssel, darunter SystemSecurityMonitor, WraithNet und WindowsSecurityUpdate
- Einsatz von Tools wie wevtutil, um Ereignisprotokolle zu löschen und Monitoring zu deaktivieren
- Löschen von Volume Shadow Copies, um eine Wiederherstellung zu verhindern
- Ausgehende Datenübertragungen mit legitimen Tools wie Rclone oder WinSCP
Zusätzliche Informationen
- Die Tengu-Ransomware nimmt Organisationen in mehreren Branchen ins Visier, darunter Technologie, Fertigung und öffentliche Einrichtungen.
- Die Gruppe verfolgt eine Double-Extortion-Strategie und kombiniert Verschlüsselung mit Datendiebstahl, um den Druck auf die Opfer zu erhöhen.
- Der Erstzugang erfolgt häufig über Missbrauch von Zugangsdaten und exponierte Remote-Services ohne angemessene Authentifizierungskontrollen.
- Die Ransomware-Payload wird typischerweise als .NET-Executable ausgeliefert und enthält Funktionen zum Deaktivieren von Sicherheitswerkzeugen.
- Tengu betreibt eine Leak-Site, auf der gestohlene Daten veröffentlicht werden können, wenn Lösegeldforderungen nicht erfüllt werden.
- Aktivitäten wurden weltweit beobachtet, darunter in Regionen wie den Vereinigten Staaten, Europa, Asien und Afrika.
- Die Wiederherstellung kann durch das gezielte Löschen von Backups und Systemlogs erschwert werden, was die Bedeutung sicherer, offline gespeicherter Backups unterstreicht.
Fazit
Die Tengu-Ransomware stellt eine erhebliche und sich weiterentwickelnde Bedrohung in der modernen Ransomware-Landschaft dar. Ihre Nutzung bewährter Angriffstechniken – Missbrauch von Zugangsdaten, laterale Bewegung, Datenexfiltration und Verschlüsselung – zeigt, dass die effektive Umsetzung etablierter Methoden weiterhin äußerst wirkungsvoll ist. Organisationen müssen starke Zugriffskontrollen, kontinuierliches Monitoring und robuste Backup-Strategien priorisieren, um das Risiko zu minimieren.
Als Spezialisten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir essenzielle Leistungen wie Ransomware Recovery Services, Ransomware Negotiation Services sowie unseren Incident Response Retainer. Kontaktieren Sie uns noch heute, um Ihre Daten zu schützen und sich effektiv von Cyberbedrohungen zu erholen.
Zuletzt aktualisiert am: 19. März 2026
Ähnliche Posts
Das Aufkommen der Crimson Collective Ransomware
ContentInformationen zu „Tengu Ransomware“So funktioniert die Tengu-RansomwareTechnische Indikatoren und AngriffsartefakteZusätzliche InformationenFazit Crimson Collective ist eine neu identifizierte Cyber-Bedrohungsgruppe im Bereich Ransomware, die um den September 2025 auftauchte. Während sie oft mit Erpressungen im Ransomware-Stil in Verbindung gebracht wird, konzentriert sich die Gruppe primär auf groß angelegte Datenexfiltration und auf Druckmitteln basierende Angriffe statt auf herkömmliche […]
19.03.2026
Das Aufkommen der Insomnia-Ransomware
ContentInformationen zu „Tengu Ransomware“So funktioniert die Tengu-RansomwareTechnische Indikatoren und AngriffsartefakteZusätzliche InformationenFazit Insomnia ist eine neu identifizierte Cyberbedrohungs-Operation, die etwa im Oktober 2025 erstmals in Erscheinung trat. Zunächst wirkte sie wie ein ransomwarebezogener Threat Actor, hob sich jedoch schnell durch einen grundlegend anderen Ansatz ab. Anders als klassische Ransomware-Gruppen setzt Insomnia weder auf Dateiverschlüsselung noch auf […]
19.03.2026
News Week: 9. März bis 15. März 2026
ContentInformationen zu „Tengu Ransomware“So funktioniert die Tengu-RansomwareTechnische Indikatoren und AngriffsartefakteZusätzliche InformationenFazit ClickFix-Variante missbraucht Windows Terminal zur Umgehung von Sicherheitskontrollen Eine neu beobachtete ClickFix-Variante zeigt, wie Angreifer ihre Social-Engineering-Techniken weiter verfeinern, um die Erkennung zu umgehen und die Erfolgsraten zu erhöhen. Anstatt den traditionellen Ausführen-Dialog zu verwenden, werden die Opfer angewiesen, das Windows Terminal zu starten, […]
16.03.2026
News Week: 2. März bis 8. März 2026
ContentInformationen zu „Tengu Ransomware“So funktioniert die Tengu-RansomwareTechnische Indikatoren und AngriffsartefakteZusätzliche InformationenFazit KI-gestützte Ransomware untergräbt traditionelle Backup-Strategien Neue, durch künstliche Intelligenz unterstützte Ransomware-Bedrohungen definieren neu, wie Angreifer Unternehmensumgebungen kompromittieren – mit einem zunehmenden Fokus auf Backup-Systeme als primäre Ziele. Statt sofortiger Verschlüsselung setzen moderne Angriffe auf Tarnung und nisten sich über längere Zeiträume in Netzwerken ein, […]
09.03.2026Sie sehen gerade einen Platzhalterinhalt von Wistia. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen