INC ransomware fejlődése
Az Acronis Threat Research Unit elemzése szerint az INC ransomware az elmúlt három év egyik legsikeresebb fejlődési pályáját járta be a zsarolóvírus-ökoszisztémában. A 2023-ban megjelent csoport mára teljes értékű Ransomware-as-a-Service platformmá vált, és 2026-ra több mint 800 áldozatot követelt világszerte. A növekedést jelentősen segítette a LockBit és BlackCat/ALPHV infrastruktúráinak visszaszorulása, amely után több affiliált az INC-hez vándorolt át.
Az INC kezdetben hagyományos Windows-alapú zsarolóvírusként működött, később azonban Linux- és VMware ESXiverzióval bővült. A legújabb minták már Rust nyelven készülnek, ami megnehezíti az elemzést, miközben egyszerűbbé teszi a többplatformos fejlesztést. A csoport emellett forráskódjának egy részét értékesítette, amely hozzájárult új ransomware-családok, például a Lynx és Sinobi megjelenéséhez.
Az INC kompromittált hitelesítő adatokat, adathalászatot, nem javított sérülékenységeket és távoli menedzsmenteszközöket használ kezdeti hozzáférésre. A laterális mozgás során legitim adminisztratív eszközökre és living-off-the-land technikákra támaszkodik, miközben aktívan gyűjti a hitelesítő adatokat. Az Acronis kutatói egy módosított credential dumpoló eszközt is azonosítottak, amely már az újabb Veeam Backup környezetekből is képes jelszóanyag kinyerésére a frissített DPAPI-védelem megkerülésével.
Az áldozatok több mint 65%-a az Egyesült Államokban található. A leggyakrabban célzott szektorok a jogi szolgáltatások, az egészségügy, a technológiai vállalatok, a gyártóipar és az építőipar. Az INC továbbra is a klasszikus double extortion modellt alkalmazza, az adatok ellopása után következik a titkosítás, majd a kiszivárogtatással történő zsarolás. A ransomware-piac szereplői gyorsan alkalmazkodnak a bűnüldöző szervek fellépéséhez, és a megszűnő nagy platformok helyét rövid idő alatt új szolgáltatók veszik át.
