Los investigadores de ciberseguridad informan que INC ha evolucionado desde una operación incipiente de ransomware como servicio (RaaS) a uno de los grupos cibercriminales más prolíficos en 2026, con más de 830 víctimas desde agosto de 2023.
«La interrupción de Rockbit y el cierre de Blackcat crearon una oportunidad para que INC se expandiera a medida que sus afiliados hacían la transición a negocios alternativos de ransomware», dijo Darrell Bertuzio, investigador de Acronis. «Las organizaciones estadounidenses representan más del 65% de las víctimas enumeradas, siendo los servicios legales, la manufactura, la construcción, la tecnología y la atención médica los sectores más atacados».
La funcionalidad de cifrado de INC para Windows y Linux/ESXi también se ha reescrito en Rust para facilitar el desarrollo multiplataforma y resistir los esfuerzos de ingeniería inversa. El ataque que implementa ransomware presenta el uso de un volcador de credenciales actualizado que puede apuntar a nuevas implementaciones de respaldo de Veeam que utilizan cifrado de credenciales DPAPI salado.
Además, las variantes de Windows y Linux de INC se vendieron en el mundo del cibercrimen en mayo de 2024, lo que provocó la aparición de familias de ransomware relacionadas, como Lynx y Sinobi, con una «superposición de código significativa», incluso cuando la marca continúa evolucionando.
«Los afiliados de ransomware INC utilizan una variedad de herramientas y técnicas para atacar a las víctimas», dijo Acronis. «La última campaña continúa apuntando a dispositivos perimetrales sin parches para el acceso inicial, descartando credenciales de los servidores de respaldo de Veeam y utiliza una combinación de LOLBin y herramientas RMM comerciales para moverse a través de las redes de las víctimas».
La cadena de ataque general empleada por el equipo de doble extorsión es la siguiente:
Obtienen acceso inicial a través de una amplia gama de métodos, incluido el phishing, las credenciales de cuenta compradas en IAB y la explotación de vulnerabilidades en aplicaciones públicas como Citrix Netscaler (CVE-2023-3519 y CVE-2025-5777), Fortinet EMS (CVE-2023-48788) y SimpleHelp. (CVE-2024-57727). Extraiga credenciales confidenciales de entornos comprometidos. El movimiento lateral utiliza binarios residentes (LOLBins) como el Protocolo de escritorio remoto (RDP) y PsExec. Utiliza filwfp.sys, filnk.sys y fildds.sys para emplear técnicas de «traiga su propia unidad vulnerable» (BYOVD) que comprometen las defensas del sistema. Elimine Cobalt Strike, AnyDesk, ScreenConnect y TeamViewer para comando y control. Organice los datos de interés como un archivo protegido con contraseña y luego use Rclone para extraerlos. Ejecuta programas criptográficos y utiliza técnicas como subprocesos múltiples y cifrado parcial para acelerar el proceso. La carga útil está equipada con una interfaz de línea de comandos, lo que brinda a los operadores más control durante el despliegue real. Cuando se ejecuta con el argumento «–esxi», intenta apagar la máquina virtual.
Nuestros hallazgos muestran que los grupos de ransomware están teniendo éxito al seguir técnicas bien conocidas, sin recurrir a artesanía sofisticada o herramientas personalizadas, para escalar y crear víctimas de manera constante en diferentes geografías y sectores. Según los datos compilados por ZeroFox, INC ransomware surgió como el cuarto grupo de ransomware más destacado en el primer trimestre de 2026 después de Qilin (338), Akira (197) y The Gentlemen (192), con más de 120 incidentes ocurridos durante el mismo período.
«INC continúa fortaleciendo sus operaciones de ransomware a través de reescrituras de carga útil basadas en Rust y mejoras continuas del kit de herramientas, mientras se dirige cuidadosamente a industrias como la atención médica, los servicios legales, los servicios profesionales, la fabricación y la construcción, donde el tiempo de inactividad operativa plantea fuertes presiones económicas», dijo Acronis.
«Esta amenaza se amplifica aún más ya que estos sectores dependen en gran medida de operaciones y cadenas de suministro ininterrumpidas, lo que aumenta el riesgo de daños colaterales en las redes de proveedores y socios intermedios en caso de una infracción».
Source link
