返回
快讯

INC Ransomware 2026成主要RaaS威胁

研究人员称,INC Ransomware 自 2023 年 8 月以来已列出至少 830 名受害者,2026 年成为活跃度最高的勒索团伙之一。其攻击常利用未修补边缘设备、泄露凭据及公共应用漏洞,并借助 Veeam、LOLBins 和商业 RMM 工具横向移动。建议及时修补、强化凭据防护并监测可疑远程管理活动。

CVE-2023-3519CVE-2025-5777CVE-2023-48788CVE-2024-57727

网络安全研究人员已经勾勒出 INC 从一个新生的 ransomware-as-a-service (RaaS) 运营,发展为 2026 年最为多产的网络犯罪团伙之一的演变过程,并声称自 2023 年 8 月以来其受害者不少于 830 个。

Acronis 研究员 Darrel Virtusio 表示:“LockBit 的受挫以及 BlackCat 的关闭为 INC 扩张创造了机会,因为附属成员迁移到了其他勒索软件运营。” “美国组织占已列出受害者的 65% 以上,法律服务、制造、建筑、技术和医疗保健是最常被针对的行业。”

INC 的 Windows 和 Linux/ESXi 加密器也已用 Rust 重写,以便更容易进行跨平台开发,并更好地抵御逆向工程。部署该勒索软件的攻击还以使用更新后的凭据转储工具为特征,该工具能够针对使用 salted DPAPI 凭据加密的新版本 Veeam 备份部署。

此外,INC 的 Windows 和 Linux 变种在 2024 年 5 月于网络犯罪地下市场出售后,出现了 Lynx 和 Sinobi 等相关勒索软件家族,并且它们之间存在“显著的代码重叠”,而 INC 品牌本身仍在持续演变。

Acronis 表示:“INC ransomware 的附属成员在针对受害者时使用多样化的工具和技术。” “在他们最近的行动中,他们继续针对未修补的边缘设备获取初始访问,转储来自 Veeam 备份服务器的凭据,并混合使用 LOLBins 和商业 RMM 工具在受害者网络中移动。”

这个双重勒索团伙采用的整体攻击链如下——

通过多种方式获取初始访问,包括鱼叉式网络钓鱼、从 IABs 购买账户凭据,以及利用面向公网应用中的漏洞,例如 Citrix Netscaler(CVE-2023-3519 和 CVE-2025-5777)、Fortinet EMS(CVE-2023-48788)和 SimpleHelp(CVE-2024-57727)。

从被入侵环境中提取敏感凭据。

使用 living-off-the-land binaries (LOLBins),例如 remote desktop protocol (RDP) 和 PsExec,进行横向移动。

采用 bring your own vulnerable drive (BYOVD) 技术,使用 filwfp.sys、filnk.sys、fildds.sys 破坏系统防御。

投放 Cobalt Strike、AnyDesk、ScreenConnect 和 TeamViewer 作为 command-and-control。

将感兴趣的数据先整理为受密码保护的压缩包,再使用 Rclone 外传。

运行加密器,并借助多线程和部分加密等技术加快过程。有效载荷包含一个命令行界面,使操作者在 hands-on 部署期间拥有更多控制权。执行时如果带有 "--esxi" 参数,它会尝试关闭虚拟机。

研究结果表明,勒索软件团伙可以通过沿用广为人知的技术而取得成功并扩大规模,而无需依赖高级入侵手法或定制工具,从而在不同地理区域和行业中稳定产生受害者。ZeroFox 汇编的数据表明,INC ransomware 在 2026 年第一季度成为第四大勒索软件团伙,仅次于 Qilin(338)、Akira(197)和 The Gentlemen(192),该期间共计造成 120 多起事件。

Acronis 表示:“INC 通过基于 Rust 的有效载荷重写和持续的工具集增强,继续强化其勒索软件运营,同时谨慎针对医疗保健、法律服务、专业服务、制造和建筑等行业,因为这些行业的运营停机对支付勒索款形成强烈的财务压力。”

“由于这些行业高度依赖不间断运营和供应链,这一威胁还会进一步放大;一旦发生入侵,就会增加通过供应商网络和下游合作伙伴产生连带暴露的风险。”