INC ransomware rośnie dzięki opanowaniu podstaw operacyjnych

Co znajdziesz w tym artykule?

1 Wprowadzenie do problemu / definicja
2 W skrócie
3 Kontekst / historia
4 Analiza techniczna
5 Konsekwencje / ryzyko
6 Rekomendacje
7 Podsumowanie
8 Źródła

Wprowadzenie do problemu / definicja

INC to grupa ransomware działająca w modelu ransomware-as-a-service, w którym operatorzy udostępniają narzędzia i infrastrukturę afiliantom odpowiedzialnym za realizację ataków. Jej przykład pokazuje, że skuteczność współczesnych kampanii nie musi wynikać z przełomowych innowacji technicznych, lecz z dobrze zorganizowanego procesu operacyjnego, powtarzalności działań i trafnego wyboru celów.

To zagrożenie szczególnie istotne dla organizacji, które opierają działalność na ciągłości usług i przetwarzaniu danych wrażliwych. W takich środowiskach nawet relatywnie prosty technicznie atak może wywołać poważne skutki biznesowe.

W skrócie

Grupa INC jest aktywna od 2023 roku i według dostępnych analiz przypisała sobie już setki ofiar. Jej rozwój zbiegł się z osłabieniem części znanych marek ransomware, co umożliwiło szybkie zwiększenie skali działania i przejęcie części przestrzeni operacyjnej na rynku cyberprzestępczym.

INC wykorzystuje model podwójnego wymuszenia: szyfrowanie danych oraz groźbę ich ujawnienia.
Ataki koncentrują się na sektorach o wysokiej presji operacyjnej, takich jak ochrona zdrowia, edukacja, technologia, budownictwo, usługi prawne i przemysł.
Wejście do środowiska ofiary odbywa się głównie przez spearphishing, skradzione poświadczenia oraz eksploatację znanych podatności.
Skuteczność grupy wynika bardziej z dyscypliny operacyjnej niż z wyjątkowo zaawansowanego malware.

Kontekst / historia

Wzrost znaczenia INC należy analizować w szerszym kontekście zmian w ekosystemie ransomware. Gdy część dużych grup została wyłączona, rozbita lub osłabiona, nie doprowadziło to do zaniku rynku, lecz do jego redystrybucji. Nowe i bardziej elastyczne podmioty zaczęły szybko wypełniać powstałą lukę.

INC skorzystało na tej sytuacji, rozwijając model, który jest atrakcyjny dla afiliantów: prosty, skalowalny i oparty na dobrze znanych technikach. W dojrzałym środowisku RaaS przewagę osiągają już nie tylko twórcy najbardziej skomplikowanego kodu, ale również operatorzy zapewniający partnerom przewidywalny proces ataku oraz skuteczne mechanizmy monetyzacji.

Analiza techniczna

Od strony technicznej INC nie redefiniuje krajobrazu ransomware, lecz bardzo efektywnie wykorzystuje istniejący arsenał narzędzi i metod. Atak zwykle rozpoczyna się od spearphishingu, użycia prawidłowych danych uwierzytelniających pozyskanych od brokerów initial access lub od eksploatacji publicznie znanych luk w usługach brzegowych i narzędziach zdalnego zarządzania.

W analizach kampanii wskazywano między innymi na wykorzystywanie podatności CVE-2025-5777, CVE-2024-57727, CVE-2023-3519 oraz CVE-2023-48788. To ważny sygnał ostrzegawczy dla zespołów bezpieczeństwa: grupa nie musi posiadać zero-dayów, jeśli organizacje nadal utrzymują niezałatane systemy dostępne z Internetu.

Po uzyskaniu dostępu operatorzy prowadzą rekonesans przy użyciu prostych poleceń systemowych, testów łączności oraz narzędzi takich jak skanery sieciowe. Kradzież poświadczeń może być realizowana za pomocą zakodowanych skryptów, a ruch boczny jest wspierany przez techniki living-off-the-land, czyli wykorzystywanie legalnych komponentów systemowych do działań ofensywnych.

Do unikania detekcji stosowane są narzędzia wyłączające lub obchodzące mechanizmy EDR. Komunikacja z infrastrukturą operatorów oraz zdalna obsługa środowiska mogą opierać się na komercyjnych lub red-teamowych narzędziach dostępu zdalnego. Etap eksfiltracji obejmuje archiwizację danych i przesyłanie ich do kontrolowanej przez atakujących chmury, a następnie uruchomienie podwójnego wymuszenia.

Warto podkreślić, że malware INC występuje w wariantach dla systemów Windows oraz Linux/ESXi, a nowsze wersje zostały przepisane w języku Rust. Taka decyzja zwiększa przenośność kodu i może utrudniać analizę. Jednocześnie sam ładunek pozostaje funkcjonalnie dość typowy, oferując między innymi zabijanie procesów, szyfrowanie danych i kradzież poświadczeń. O sile INC decyduje więc nie wyjątkowość funkcji, lecz niezawodność i użyteczność dla afiliantów.

Konsekwencje / ryzyko

Największe zagrożenie związane z INC wynika z połączenia prostoty i skali. Grupa uderza w organizacje, gdzie przestój szybko przekłada się na presję operacyjną, finansową lub reputacyjną. Dotyczy to zwłaszcza sektorów przetwarzających dane wrażliwe albo utrzymujących usługi krytyczne.

Dla obrońców oznacza to kilka istotnych ryzyk. Klasyczne słabości, takie jak brak aktualizacji, niewystarczające zarządzanie tożsamością czy płaska architektura sieci, pozostają w pełni eksploatowalne. Dodatkowo szerokie wykorzystanie legalnych narzędzi administracyjnych utrudnia wykrywanie incydentu, ponieważ złośliwa aktywność może przypominać zwykłe działania operacyjne.

Obecność wariantów dla środowisk ESXi zwiększa także ryzyko ataku na warstwę wirtualizacji, co może znacząco skomplikować odtwarzanie usług po incydencie. Jeśli z kolei kod, procedury i know-how grupy są adaptowane przez innych operatorów, rośnie prawdopodobieństwo pojawienia się kolejnych kampanii opartych na tym samym modelu działania.

Rekomendacje

Podstawowym priorytetem powinno być ograniczenie ekspozycji zewnętrznej. Organizacje muszą zinwentaryzować wszystkie usługi dostępne z Internetu, szczególnie urządzenia brzegowe, systemy zdalnego dostępu, platformy Citrix, rozwiązania Fortinet oraz narzędzia RMM. Krytyczne poprawki bezpieczeństwa powinny być wdrażane możliwie jak najszybciej.

Drugim filarem ochrony jest skuteczne zarządzanie tożsamością. W praktyce oznacza to egzekwowanie MFA dla dostępu zdalnego i kont uprzywilejowanych, ograniczanie ponownego użycia haseł, monitorowanie anomalii logowania oraz stosowanie zasady najmniejszych uprawnień. Konta administracyjne i serwisowe powinny być regularnie audytowane.

Równie ważna pozostaje segmentacja sieci oraz ograniczanie możliwości ruchu bocznego. Stacje robocze, serwery, systemy kopii zapasowych i środowiska wirtualizacyjne nie powinny funkcjonować w jednej płaskiej strefie zaufania. Warto także monitorować użycie PowerShella, narzędzi administracyjnych, nietypowych archiwizacji danych i transferów do chmury.

Wdrażaj poprawki dla usług wystawionych do Internetu bez zbędnej zwłoki.
Wymuś MFA dla dostępu zdalnego i kont uprzywilejowanych.
Segmentuj sieć i ograniczaj ruch boczny między krytycznymi zasobami.
Monitoruj użycie legalnych narzędzi administracyjnych i skryptów.
Stosuj kopie zapasowe zgodne z zasadą 3-2-1, najlepiej offline lub niemutowalne.
Testuj regularnie procedury odtwarzania po incydencie.
Wzmacniaj detekcję za pomocą IOC, YARA i szerszej telemetrii endpointów.

Podsumowanie

Przypadek INC potwierdza, że nowoczesny ransomware nie musi być technologicznie przełomowy, aby osiągać wysoką skuteczność. Wystarczy połączenie sprawdzonych metod dostępu, efektywnego modelu afiliacyjnego, prostego łańcucha operacyjnego i koncentracji na ofiarach podatnych na presję biznesową.

Dla organizacji to ważna lekcja: jedne z najpoważniejszych zagrożeń nie wynikają z egzotycznych exploitów, lecz z konsekwentnego wykorzystywania podstawowych zaniedbań w obszarze cyberhigieny, zarządzania tożsamością i utrzymania infrastruktury.

Źródła

INC Ransomware Thrives by Mastering the Basics — https://www.darkreading.com/cyberattacks-data-breaches/inc-ransomware-thrives-by-mastering-the-basics
From emerging threat to top-tier ransomware-as-a-service: The evolution of INC ransomware — https://www.acronis.com/en/tru/posts/from-emerging-threat-to-top-tier-ransomware-as-a-service-the-evolution-of-inc-ransomware/
CVE-2023-3519 — https://nvd.nist.gov/vuln/detail/CVE-2023-3519
CVE-2023-48788 — https://nvd.nist.gov/vuln/detail/CVE-2023-48788
CVE-2024-57727 — https://nvd.nist.gov/vuln/detail/CVE-2024-57727