INC Ransomware : Мастер двойного вымогательства
INC Ransomware — это сложная и относительно новая киберпреступная группировка, известная своими целевыми атаками с использованием программ-вымогателей на корпоративные и корпоративные сети. Они демонстрируют высокий уровень технической подготовки, применяя передовые методы и многоэтапный процесс атаки, чтобы максимально увеличить свои шансы на успех и потенциальный размер выкупа.
INC Ransomware — это сложная и относительно новая киберпреступная группировка, известная своими целевыми атаками с использованием программ-вымогателей на корпоративные и корпоративные сети. Они демонстрируют высокий уровень технической подготовки, используя передовые методы и многоэтапный процесс атаки, чтобы максимально увеличить свои шансы на успех и потенциальный размер выкупа. Их операции включают кражу данных и угрозу их публикации (двойное вымогательство), что значительно усиливает давление на жертв, вынуждая их выполнять их требования. Их цели тщательно выбираются, в основном, среди организаций, обладающих значительными финансовыми ресурсами и конфиденциальными данными.
Известные псевдонимы INC Ransomware
INC Ransomware. В настоящее время другие псевдонимы группы INC Ransomware публично не известны.
Страна происхождения INC Ransomware
Страна происхождения вируса-вымогателя INC в настоящее время неизвестна. Хотя атаки были направлены преимущественно на организации в Северной Америке и Европе, это не позволяет однозначно определить их местонахождение.
Известные жертвы громких атак/Недавние атаки с использованием программ-вымогателей INC
Большинство их жертв приходится на секторы профессиональных услуг, производства и строительства, при этом на долю Соединенных Штатов приходится 57,9% их целей.
- Trylon : Эта компания подверглась атаке группы INC Ransom, которая зашифровала конфиденциальные данные и потребовала выкуп. Подробности взлома остаются ограниченными.
- Спрингфилд : Город столкнулся с атакой вируса-вымогателя, которая нарушила работу государственных служб. Атака использовала уязвимости в широко распространённых системах, продемонстрировав способность группировки атаковать муниципальные учреждения.
- Mission Locale Montpellier : эта французская организация, занимающаяся трудоустройством и обучением молодежи, подверглась нападению 29 января 2025 года. Группа вымогателей получила доступ через фишинговые письма, шифруя важные данные и требуя выкуп.
- Boldon James : Британская компания-разработчик программного обеспечения, специализирующаяся на безопасности данных, Boldon James стала жертвой INC Ransom 29 января 2025 года. Злоумышленники похитили 500 ГБ конфиденциальных данных, что подчеркивает ориентацию группировки на отрасли, обрабатывающие критически важную информацию.
- Город Белойт : Этот город в Висконсине подвергся нападению 29 января 2025 года. Атака нарушила работу муниципалитета и выявила уязвимости в кибербезопасности государственного сектора.
- Клиника племени Меномини : это медицинское учреждение в Висконсине подверглось нападению в период рождественских праздников 2024 года. Вирус-вымогатель нарушил предоставление услуг и вызвал опасения по поводу безопасности конфиденциальных данных пациентов.
- Хоспис «Heart to Heart» : эта известная организация, предоставляющая хосписные услуги, подверглась нападению 30 января 2025 года. Нарушение включало несанкционированный доступ к конфиденциальным данным пациентов.
- Turning Leaf Behavioral Health Services : этот поставщик услуг в области психического здоровья из Мичигана подвергся атаке 29 января 2025 года. В результате атаки были скомпрометированы конфиденциальные данные.
Распространенные методы проникновения, используемые программами-вымогателями INC
INC Ransomware в основном использует два метода для первоначального доступа:
- Фишинг: сотрудникам рассылаются целевые электронные письма, содержащие вредоносные вложения или ссылки, предназначенные для доставки вредоносного ПО.
- Эксплуатация уязвимостей: группа активно ищет и использует известные уязвимости в общедоступных приложениях, такие как уязвимость CVE-2023-3519 в Citrix NetScaler.
Методы эксплуатации, используемые программой-вымогателем INC
Программа-вымогатель INC использует многоэтапный процесс атаки:
- Первоначальный доступ: приобретенные действительные учетные данные (часто у посредников первоначального доступа), фишинг и эксплуатация уязвимостей, таких как CVE-2023-3519.
- Обход защиты: использует такие инструменты, как
HackTool.ProcTerminator,ProcessHacker, и более новый инструмент, специально разработанный для завершения процессов Trend Micro. - Доступ к учетным данным: использует инструменты для сброса учетных данных из Veeam Backup and Replication Managers.
- Discovery: использует инструменты сканирования сети, такие как NetScan и Advanced IP Scanner, для построения карты сети. Также использует легальные инструменты (Notepad, Wordpad, Paint) для просмотра файлов и загрузки инструментов, таких как Mimikatz, из открытых каталогов.
- Горизонтальное перемещение: использует такие инструменты, как PSexec, AnyDesk и TightVNC, для перемещения внутри сети жертвы.
- Воздействие: Архивирует данные с помощью 7-Zip перед их извлечением через MegaSync. Вредоносное ПО использует шифрование AES с различной скоростью (быстрой, средней, медленной) и добавляет расширение «.inc» (или «{исходное имя файла}.{исходное расширение}.INC» в более новых версиях) к зашифрованным файлам. Кроме того, вредоносное ПО сбрасывает записки с требованием выкупа (INC-README.txt и INC-README.html) и распечатывает их на сетевых принтерах.
- Сохранение: добавляет службы для автоматического выполнения в безопасном режиме. Вариант для Linux использует эту
--daemonкоманду для отсоединения от родительского процесса.
Тактика и методы атаки MITRE ATT&CK от INC Ransomware
- Первоначальный доступ:
- Целевой фишинг (T1566)
- Эксплуатация публично доступного приложения (T1190) – в частности, CVE-2023-3519 в Citrix NetScaler
- Исполнение:
- Интерпретатор команд и сценариев (T1059) — с использованием таких инструментов, как
wmic.exeиPSExec(замаскированных подwinupd)
- Интерпретатор команд и сценариев (T1059) — с использованием таких инструментов, как
- Упорство:
- Действительные учетные записи (T1078) — использование скомпрометированных учетных данных RDP
- Повышение привилегий:
- Эксплуатация для повышения привилегий (T1068) — через RDP
- Уклонение от защиты:
- Запутанные файлы или информация (T1027) – инструменты маскировки, такие как
PSExec
- Запутанные файлы или информация (T1027) – инструменты маскировки, такие как
- Доступ к учетным данным:
- Сброс учетных данных (T1003) – возможно использование таких инструментов, как
lsassy.py
- Сброс учетных данных (T1003) – возможно использование таких инструментов, как
- Открытие:
- Обнаружение конфигурации сети системы (T1016) — с использованием таких инструментов, как
NETSCAN.EXEAdvanced IP Scanner
- Обнаружение конфигурации сети системы (T1016) — с использованием таких инструментов, как
- Боковое движение:
- Удаленные службы: протокол удаленного рабочего стола (T1021.001) — с использованием таких инструментов, как
AnyDesk.exe
- Удаленные службы: протокол удаленного рабочего стола (T1021.001) — с использованием таких инструментов, как
- Коллекция:
- Data Staged (T1074) – с использованием таких инструментов, как 7-Zip и
MEGASync
- Data Staged (T1074) – с использованием таких инструментов, как 7-Zip и
- Эксфильтрация:
- Данные, зашифрованные для удара (T1486) — развертывание специализированного ПО-вымогателя
- Командование и управление:
- Передача инструмента Ingress (T1105) – использование
MEGASyncиAnyDesk.exe
- Передача инструмента Ingress (T1105) – использование
- Влияние:
- Уничтожение данных (T1485) – шифрование данных
Виды вредоносного ПО/программ-вымогателей, используемые INC Ransomware
- Первоначальный доступ: скомпрометированные учетные записи, CVE-2023-3519
- Боковое перемещение: PsExec, AnyDesk
- Discovery: NetScan, Advanced IP Scanner, Mimikatz
- Эксфильтрация: MegaSync, 7-Zip
- Уклонение от защиты:
HackTool.Win32.ProcTerminator.A,HackTool.PS1.VeeamCreds.A - Сброс учетных данных: Mimikatz
- Воздействие: сама программа-вымогатель INC
About The Author
