INC Ransom nasila ataki na ochronę zdrowia w Oceanii

Wprowadzenie do problemu / definicja

INC Ransom to grupa działająca w modelu ransomware-as-a-service, której afilianci prowadzą kampanie przeciwko organizacjom przetwarzającym dane o wysokiej wartości operacyjnej i biznesowej. Najnowsze incydenty pokazują, że jednym z głównych celów stał się sektor ochrony zdrowia w Oceanii, gdzie nawet krótkotrwała niedostępność systemów może bezpośrednio wpłynąć na ciągłość świadczenia usług medycznych.

Zagrożenie jest szczególnie istotne, ponieważ placówki medyczne przechowują wrażliwe dane pacjentów, obsługują systemy krytyczne i funkcjonują w trybie ciągłym. To sprawia, że presja wywierana przez operatorów ransomware jest w tym sektorze wyjątkowo skuteczna.

W skrócie

INC Ransom stosuje model podwójnego wymuszenia. Napastnicy najpierw wykradają dane, następnie szyfrują systemy, a na końcu grożą publikacją przejętych informacji, jeśli okup nie zostanie zapłacony.

• W Australii, Nowej Zelandii i Tonga odnotowano incydenty obejmujące podmioty ochrony zdrowia.
• W Australii między 1 lipca 2024 r. a 31 grudnia 2025 r. obsłużono 11 incydentów powiązanych z INC Ransom.
• W Tonga atak na środowisko ICT ministerstwa zdrowia zakłócił funkcjonowanie kluczowych usług medycznych.
• W Nowej Zelandii jeden z incydentów objął szyfrowanie serwerów i stacji końcowych oraz kradzież dużego wolumenu danych.

Kontekst / historia

Grupa INC Ransom pojawiła się w połowie 2023 roku jako operacja nastawiona finansowo, oferująca infrastrukturę i narzędzia afiliantom w modelu RaaS. Początkowo jej aktywność była silniej widoczna na rynkach takich jak Stany Zjednoczone i Wielka Brytania, jednak od początku 2025 roku wyraźnie wzrosło zainteresowanie Australią, Nową Zelandią i państwami wyspiarskimi Pacyfiku.

Z perspektywy napastników sektor ochrony zdrowia pozostaje atrakcyjnym celem. Organizacje medyczne korzystają z rozbudowanych, często heterogenicznych środowisk IT, utrzymują wiele systemów o krytycznym znaczeniu i przetwarzają dane należące do najbardziej wrażliwych kategorii. Każda przerwa w działaniu infrastruktury może więc oznaczać wysokie koszty operacyjne, reputacyjne i regulacyjne.

Szczególnie niepokojący jest schemat eskalacji obserwowany w regionie. Ataki, które początkowo dotyczyły pojedynczych organizacji, zaczęły obejmować infrastrukturę o znaczeniu systemowym. Dobrym przykładem jest incydent z 15 czerwca 2025 r. w Tonga, który wpłynął na funkcjonowanie krajowej sieci ochrony zdrowia.

Analiza techniczna

Profil techniczny działań INC Ransom nie opiera się na przełomowych, nieznanych wcześniej metodach. Skuteczność tej grupy wynika raczej z konsekwentnego łączenia sprawdzonych technik: dostępu początkowego, eskalacji uprawnień, ruchu bocznego, eksfiltracji danych i szyfrowania zasobów.

Najczęściej wykorzystywane wektory wejścia obejmują spear phishing, wykorzystanie znanych podatności w usługach dostępnych z Internetu oraz użycie skompromitowanych danych uwierzytelniających pozyskanych od brokerów dostępu początkowego. W praktyce oznacza to, że organizacje padają ofiarą zarówno słabości w zarządzaniu tożsamością, jak i opóźnień w procesie łatania systemów.

Po uzyskaniu dostępu napastnicy dążą do utrwalenia obecności w środowisku. Obserwowano tworzenie kont administracyjnych, wykorzystywanie legalnych usług zdalnego dostępu oraz nadużywanie prawidłowych poświadczeń, aby ukryć złośliwą aktywność pod pozorem zwykłych działań użytkownika. W części przypadków stosowano także techniki BYOVD, czyli wykorzystanie legalnych, lecz podatnych sterowników do podniesienia uprawnień.

Na etapie rozpoznania i ruchu bocznego operatorzy skanują usługi sieciowe, enumerują udziały, identyfikują hosty i aktywne połączenia, a następnie przemieszczają narzędzia pomiędzy systemami. Pozwala im to ustalić, gdzie znajdują się najbardziej wartościowe dane oraz które zasoby należy objąć szyfrowaniem w pierwszej kolejności.

Eksfiltracja danych odbywa się z użyciem legalnego oprogramowania administracyjnego i archiwizującego. W raportowanych incydentach wskazano użycie takich narzędzi jak 7-Zip, WinRAR oraz rclone. Taki dobór narzędzi utrudnia wykrycie ataku, ponieważ część aktywności może przypominać standardowe działania administratorów.

W Australii zaobserwowano również wdrażanie złośliwych plików nazwanych win.exe, a w niektórych incydentach potwierdzono eksfiltrację danych osobowych i medycznych. W Nowej Zelandii skutkiem jednego z ataków było zaszyfrowanie wielu serwerów i urządzeń końcowych oraz publikacja skradzionych danych. W Tonga atak na środowisko ministerstwa zdrowia doprowadził do niedostępności kluczowych usług.

Konsekwencje / ryzyko

Ryzyko związane z aktywnością INC Ransom w ochronie zdrowia wykracza daleko poza straty finansowe. W tym sektorze cyberatak bardzo szybko staje się problemem operacyjnym, który może wpływać na rejestrację pacjentów, dostęp do dokumentacji medycznej, działanie laboratoriów czy komunikację wewnętrzną placówki.

Drugim kluczowym obszarem ryzyka jest naruszenie poufności danych. Informacje medyczne należą do najbardziej wrażliwych kategorii danych osobowych, a ich wyciek może prowadzić do konsekwencji prawnych, regulacyjnych i reputacyjnych. Model podwójnego wymuszenia oznacza, że nawet skuteczne odtworzenie środowiska z kopii zapasowych nie eliminuje ryzyka szantażu związanego z publikacją danych.

Dodatkowym problemem jest specyfika mniejszych państw i scentralizowanych środowisk publicznych. Tam pojedynczy incydent może mieć nieproporcjonalnie duży wpływ na funkcjonowanie całego systemu ochrony zdrowia, zwłaszcza jeśli brakuje odpowiedniej redundancji infrastruktury i wyspecjalizowanych zasobów do reagowania.

Rekomendacje

Podmioty z sektora ochrony zdrowia powinny traktować kampanie INC Ransom jako realne i wysokoprawdopodobne zagrożenie. Skuteczna obrona wymaga połączenia podstawowych kontroli bezpieczeństwa z lepszą widocznością środowiska.

• Wdrożenie odpornych na phishing mechanizmów MFA dla usług zdalnych, kont uprzywilejowanych i systemów dostępnych z Internetu.
• Regularne skanowanie podatności oraz szybkie wdrażanie poprawek dla urządzeń brzegowych, bram VPN i usług zdalnego dostępu.
• Ograniczenie ekspozycji publicznych usług i segmentacja sieci, aby utrudnić ruch boczny po kompromitacji.
• Monitorowanie użycia legalnych narzędzi administracyjnych i transferowych, takich jak TeamViewer, AnyDesk, 7-Zip, WinRAR czy rclone.
• Wzmocnienie kontroli dostępu uprzywilejowanego oraz ograniczenie liczby kont lokalnych, współdzielonych i starszych kont usługowych.
• Utrzymywanie regularnych, testowanych kopii zapasowych odseparowanych od środowiska produkcyjnego.
• Rozbudowa zdolności detekcyjnych poprzez centralizację logów, monitoring ruchu sieciowego i wykrywanie nietypowych działań wewnętrznych.

Podsumowanie

Aktywność INC Ransom w Oceanii potwierdza, że sektor ochrony zdrowia pozostaje jednym z najbardziej atrakcyjnych celów dla operatorów ransomware. Grupa nie musi wykorzystywać wyjątkowo zaawansowanych technik, aby osiągać poważne skutki operacyjne. W wielu przypadkach wystarczają skompromitowane konta, niezałatane systemy, słaba segmentacja i niedostateczny monitoring.

Dla obrońców najważniejszy wniosek jest jasny: odporność na tego typu kampanie nadal opiera się na konsekwentnym wdrażaniu podstaw cyberbezpieczeństwa. MFA, zarządzanie podatnościami, kontrola dostępu uprzywilejowanego, segmentacja sieci, monitoring nadużyć legalnych narzędzi oraz niezależne kopie zapasowe pozostają kluczowymi elementami ograniczającymi zarówno ryzyko włamania, jak i skalę jego skutków.

Źródła

1. Dark Reading — INC Ransomware Group Holds Healthcare Hostage in Oceania — https://www.darkreading.com/threat-intelligence/inc-ransomware-healthcare-oceania
2. Australian Cyber Security Centre — INC Ransom Affiliate Model Enabling Targeting of Critical Networks — https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/inc-ransom-affiliate-model-enabling-targeting-of-critical-networks
3. NCSC New Zealand — Protect your organisation against ransomware — https://www.ncsc.govt.nz/business-advice/ransomware/protect-your-organisation-against-ransomware/
4. CERT Tonga — Advisory – Inc Ransomware Attack — https://cert.gov.to/advisory-inc-ransomware-attack/