INC Ransomware rośnie w siłę: ponad 830 ofiar i nowy etap rozwoju modelu RaaS - Security Bez Tabu

INC Ransomware rośnie w siłę: ponad 830 ofiar i nowy etap rozwoju modelu RaaS

Cybersecurity news

Wprowadzenie do problemu / definicja

INC to grupa ransomware działająca w modelu ransomware-as-a-service, w którym operatorzy rozwijają złośliwe oprogramowanie, a afilianci odpowiadają za uzyskanie dostępu do środowisk ofiar i realizację ataków. W 2026 roku operacja ta przyciągnęła szczególną uwagę badaczy ze względu na skalę aktywności, rosnącą liczbę poszkodowanych organizacji oraz systematyczne doskonalenie zaplecza technicznego.

W praktyce oznacza to zagrożenie, które łączy biznesowy model cyberprzestępczy z dużą elastycznością operacyjną. Tego typu grupy potrafią szybko zwiększać liczbę incydentów, ponieważ rozdzielają role pomiędzy twórców malware, brokerów dostępu i operatorów odpowiedzialnych za wymuszenia.

W skrócie

  • INC przypisał sobie ponad 830 ofiar od sierpnia 2023 roku.
  • Grupa wykorzystuje podatne urządzenia brzegowe, skradzione poświadczenia i popularne narzędzia administracyjne.
  • Warianty dla Windows oraz Linux/ESXi zostały przepisane do języka Rust.
  • Napastnicy rozwijają moduły kradzieży poświadczeń, w tym ukierunkowane na środowiska kopii zapasowych Veeam.
  • Model działania opiera się na podwójnym wymuszeniu, łącząc eksfiltrację danych z szyfrowaniem systemów.

Kontekst / historia

Wzrost znaczenia INC należy analizować w szerszym kontekście zmian na rynku cyberprzestępczym po osłabieniu części dominujących wcześniej grup ransomware. Powstała luka została szybko wykorzystana przez nowe i rozwijające się operacje, które przejęły afiliantów, know-how oraz sprawdzone metody monetyzacji ataków.

INC skorzystał na tym przesunięciu wyjątkowo skutecznie. Grupa zwiększyła widoczność na listach wycieków i rozszerzyła skalę działań, stając się jednym z najaktywniejszych podmiotów ransomware w 2026 roku. Dodatkowym czynnikiem wzmacniającym zagrożenie była sprzedaż wariantów ransomware INC dla Windows i Linux w podziemiu cyberprzestępczym w maju 2024 roku.

To z kolei przyczyniło się do pojawienia się rodzin ransomware wykazujących podobieństwa kodu, takich jak Lynx i Sinobi. W praktyce oznacza to, że wpływ INC może wykraczać poza jedną markę i obejmować szerszy ekosystem powiązanych zagrożeń.

Analiza techniczna

Łańcuch ataku obserwowany w kampaniach INC opiera się głównie na dobrze znanych, ale nadal skutecznych technikach. Początkowy dostęp bywa uzyskiwany przez spear phishing, zakupione dane uwierzytelniające od brokerów dostępu lub wykorzystanie podatności w publicznie dostępnych aplikacjach i urządzeniach brzegowych. W raportach wskazywano między innymi luki dotyczące rozwiązań Citrix NetScaler, Fortinet EMS oraz SimpleHelp.

Po uzyskaniu dostępu napastnicy koncentrują się na przejęciu poświadczeń i poszerzaniu kontroli nad środowiskiem. Szczególnie istotny jest rozwijany moduł kradzieży danych uwierzytelniających, zdolny do atakowania nowszych wdrożeń Veeam wykorzystujących szyfrowanie poświadczeń oparte na salted DPAPI. To pokazuje, że operatorzy aktywnie dostosowują narzędzia do zmian w zabezpieczeniach wdrażanych przez producentów oprogramowania.

Do ruchu bocznego wykorzystywane są zarówno natywne składniki systemowe typu living-off-the-land binaries, jak i popularne narzędzia administracyjne. W obserwowanych incydentach pojawiały się między innymi RDP oraz PsExec. W celu utrzymania dostępu i komunikacji z infrastrukturą dowodzenia stosowano również Cobalt Strike, AnyDesk, ScreenConnect i TeamViewer.

Charakterystycznym elementem nowszych kampanii jest użycie techniki BYOVD, czyli uruchamiania podatnych sterowników w celu obchodzenia lub osłabiania zabezpieczeń endpointów. Taki krok ułatwia dalsze działania poeksploatacyjne i zwiększa szanse na skuteczne wdrożenie szyfratora.

Na etapie eksfiltracji danych INC wykorzystuje Rclone, a pliki przed przesłaniem bywają grupowane do archiwów zabezpieczonych hasłem. Następnie uruchamiany jest szyfrator wspierający wielowątkowość oraz częściowe szyfrowanie danych w celu przyspieszenia operacji. W środowiskach zwirtualizowanych wariant przeznaczony dla ESXi podejmuje próbę wyłączenia maszyn wirtualnych, co zwiększa skuteczność szyfrowania i utrudnia utrzymanie ciągłości działania.

Ważną zmianą techniczną jest przepisanie wariantów dla Windows i Linux/ESXi do języka Rust. Taki kierunek zwykle poprawia przenośność kodu między platformami, upraszcza rozwój wielosystemowych wersji malware i jednocześnie może utrudniać analizę wsteczną.

Konsekwencje / ryzyko

Skala aktywności INC wskazuje, że nie jest to już niszowa operacja, lecz dojrzałe zagrożenie dla organizacji z wielu sektorów. Szczególnie narażone pozostają podmioty z obszaru ochrony zdrowia, usług prawnych, usług profesjonalnych, produkcji i budownictwa, czyli branże, w których przestój operacyjny szybko przekłada się na presję finansową.

Ryzyko nie ogranicza się wyłącznie do zaszyfrowania systemów. Model podwójnego wymuszenia oznacza również kradzież danych przed uruchomieniem szyfrowania, co zwiększa prawdopodobieństwo szantażu, naruszenia poufności, problemów regulacyjnych i długofalowych strat reputacyjnych.

Dodatkowym zagrożeniem jest możliwość przeniesienia skutków incydentu na partnerów biznesowych i podmioty zależne w łańcuchu dostaw. Gdy zaatakowana organizacja pełni istotną rolę operacyjną, skutki ataku mogą wykraczać daleko poza pojedynczą ofiarę.

Rekomendacje

Organizacje powinny w pierwszej kolejności ograniczyć powierzchnię ataku poprzez szybkie łatanie urządzeń brzegowych i publicznie dostępnych aplikacji. Szczególnej uwagi wymagają usługi zdalnego dostępu, bramy VPN, panele administracyjne oraz rozwiązania helpdesk.

Kluczowe jest również wdrożenie silnych zabezpieczeń tożsamości. Obejmuje to stosowanie MFA dla dostępu zdalnego i kont uprzywilejowanych, segmentację uprawnień oraz rotację i monitorowanie poświadczeń serwisowych. Szczególnej ochrony wymagają serwery kopii zapasowych, zwłaszcza środowiska Veeam.

W obszarze detekcji warto monitorować użycie LOLBins, nietypowe uruchomienia PsExec, RDP, narzędzi RMM oraz procesów związanych z kompresją i eksfiltracją danych. Alarmujące powinny być także próby instalowania sterowników, wyłączania zabezpieczeń endpointów i zatrzymywania maszyn wirtualnych ESXi.

Kopie zapasowe powinny być odseparowane logicznie i administracyjnie od podstawowego środowiska, regularnie testowane pod kątem odtwarzania oraz chronione przed modyfikacją i usunięciem. Równie ważne jest przygotowanie i ćwiczenie planów reagowania na incydenty ransomware.

  • Szybkie aktualizowanie systemów i urządzeń dostępnych z Internetu.
  • Wymuszenie MFA dla dostępu zdalnego i kont uprzywilejowanych.
  • Ochrona i segmentacja środowisk backupowych.
  • Monitorowanie narzędzi administracyjnych i zdalnego dostępu.
  • Wykrywanie prób eksfiltracji danych i obchodzenia zabezpieczeń.
  • Regularne testy odtwarzania kopii zapasowych i scenariuszy IR.

Podsumowanie

INC ransomware wyrósł na jedno z najważniejszych zagrożeń typu RaaS w 2026 roku, osiągając dużą skalę dzięki skutecznemu wykorzystaniu znanych technik operacyjnych i systematycznemu rozwojowi narzędzi. Siła tej operacji nie wynika wyłącznie z zaawansowanego malware, lecz z połączenia kradzieży poświadczeń, sprawnego ruchu bocznego, eksfiltracji danych i elastycznego modelu afiliacyjnego.

Dla organizacji oznacza to konieczność konsekwentnego wzmacniania higieny bezpieczeństwa, ochrony tożsamości, zabezpieczenia backupów oraz aktywnej detekcji działań poeksploatacyjnych. W przypadku INC najbardziej niebezpieczna okazuje się nie pojedyncza innowacja, ale skuteczna industrializacja ataków ransomware.

Źródła