Grupo de extorsão dupla migrou afiliados após LockBit e BlackCat, combina exploração de bordas, extração de credenciais Veeam e ferramentas comerciais de acesso remoto em campanhas transplataforma
| Componente | Operação INC Ransomware (RaaS), criptadores Windows/Linux/ESXi, variantes relacionadas Lynx e Sinobi, infraestrutura de backup Veeam com criptografia DPAPI salgada, dispositivos de borda Citrix NetScaler, Fortinet EMS e SimpleHelp |
| Vetor | Acesso inicial por spear-phishing, credenciais adquiridas de corretores de acesso inicial (IAB) e exploração de falhas em aplicações expostas; movimentação lateral com LOLBins (RDP, PsExec), BYOVD com drivers filwfp.sys, filnk.sys e fildds.sys, e ferramentas comerciais de RMM/C2 |
| Impacto | Mais de 830 vítimas listadas desde agosto de 2023; extorsão dupla com exfiltração via Rclone e criptografia acelerada por multithreading e criptografia parcial; pressão operacional elevada em saúde, jurídico, manufatura e construção |
| Prioridade | Corrigir CVEs citadas em bordas, reforçar proteção de servidores Veeam, monitorar RMM/Cobalt Strike/Rclone, aplicar EDR contra BYOVD e validar backups offline imunes à cadeia de criptografia |
| Versões | Variantes Windows e Linux/ESXi reescritas em Rust; comercialização underground em maio de 2024 gerou famílias Lynx e Sinobi com sobreposição significativa de código |
| Artefatos | Criptador com interface de linha de comando e argumento operacional para ESXi que tenta desligar máquinas virtuais; dumper de credenciais atualizado contra implantações Veeam recentes |
| IoCs | Drivers BYOVD filwfp.sys, filnk.sys, fildds.sys; ferramentas observadas incluem Cobalt Strike, AnyDesk, ScreenConnect, TeamViewer e Rclone para exfiltração |
| Mitigação | Patch em Citrix NetScaler (CVE-2023-3519, CVE-2025-5777), Fortinet EMS (CVE-2023-48788) e SimpleHelp (CVE-2024-57727); segmentação, MFA, bloqueio de RMM não autorizado e rotação de credenciais de backup |
Pesquisadores de segurança mapearam a evolução da operação INC Ransomware de um programa incipiente de ransomware como serviço (RaaS) para um dos grupos de cibercrime mais prolíficos em 2026, com registro de mais de 830 vítimas desde agosto de 2023. A interrupção de LockBit e o encerramento de BlackCat abriram espaço para afiliados migrarem para ecossistemas alternativos, acelerando a expansão da INC em volume e diversidade de alvos.
Organizações nos Estados Unidos concentram mais de 65% das vítimas listadas, com serviços jurídicos, manufatura, construção, tecnologia e saúde entre os setores mais visados. A operação adota extorsão dupla: exfiltração prévia de dados e criptografia de ambientes Windows, Linux e ESXi. Os criptadores foram reescritos em Rust para facilitar desenvolvimento multiplataforma e dificultar engenharia reversa. Dados compilados indicam que a INC apareceu como o quarto grupo de ransomware mais proeminente no primeiro trimestre de 2026, com mais de 120 incidentes no período, atrás apenas de Qilin, Akira e The Gentlemen.
A comercialização das variantes Windows e Linux no underground em maio de 2024 contribuiu para o surgimento de famílias relacionadas — Lynx e Sinobi — com sobreposição significativa de código, mesmo com a continuidade da evolução da marca INC. A análise reforça que grupos podem escalar sem tradecraft avançado, combinando técnicas amplamente conhecidas com atualização contínua de kit operacional.
A cadeia de ataque documentada para afiliados INC segue um padrão de intrusão hands-on com múltiplas fases. O acesso inicial ocorre por spear-phishing, credenciais compradas de corretores de acesso inicial (IAB) ou exploração de vulnerabilidades em aplicações expostas publicamente, incluindo Citrix NetScaler (CVE-2023-3519, CVE-2025-5777), Fortinet EMS (CVE-2023-48788) e SimpleHelp (CVE-2024-57727). Dispositivos de borda desatualizados permanecem como vetor recorrente nas campanhas mais recentes.
Após o foothold, a movimentação lateral combina binários nativos do sistema (LOLBins), com uso observado de Remote Desktop Protocol e PsExec. Para degradar defesas locais, operadores empregam a técnica bring your own vulnerable driver (BYOVD) com drivers filwfp.sys, filnk.sys e fildds.sys, visando neutralizar proteções de endpoint antes da fase final. A persistência e o comando remoto recorrem a Cobalt Strike e a ferramentas comerciais de acesso remoto como AnyDesk, ScreenConnect e TeamViewer, ampliando a superfície de detecção para tráfego legítimo de RMM abusado.
Antes da criptografia, dados de interesse são exfiltrados com Rclone, frequentemente após staging em arquivos compactados protegidos por senha. Campanhas recentes incluem um dumper de credenciais atualizado capaz de atingir implantações Veeam mais novas que utilizam criptografia DPAPI salgada, ampliando o risco sobre servidores de backup que concentram credenciais de domínio e contas privilegiadas. O criptador final emprega multithreading e criptografia parcial para acelerar o impacto; expõe interface de linha de comando que concede controle operacional ao afiliado. Quando executado com argumento destinado a ESXi, o payload tenta desligar máquinas virtuais antes de aplicar a criptografia, reduzindo a capacidade de recuperação rápida por snapshots ativos.
A superfície não se limita a estáções Windows: ambientes Linux e hypervisores ESXi entram no escopo dos criptadores Rust, o que eleva o risco para infraestrutura virtualizada e cargas mistas. Setores com baixa tolerância a indisponibilidade — saúde, serviços jurídicos, profissionais, manufatura e construção — aparecem como alvos preferenciais porque a pressão financeira por retorno operacional favorece pagamento de resgate.
A dependência de cadeias de fornecimento contínuas nesses segmentos amplia a exposição colateral: comprometimento de um integrador, prestador jurídico ou fabricante pode propagar risco a parceiros downstream mesmo quando o incidente primário ocorre fora do perímetro do cliente final.
- Mais de 65% das vítimas listadas concentram-se nos Estados Unidos, com dispersão global adicional
- Servidores Veeam com esquema DPAPI salgado recente e credenciais de backup armazenadas localmente
- Dispositivos Citrix NetScaler, Fortinet EMS e SimpleHelp expostos sem correção das CVEs citadas
- Estáções e servidores com RDP/PsExec habilitados para administração remota interna
- Ambientes ESXi sujeitos a desligamento forçado de VMs antes da criptografia em volume
A detecção eficaz exige correlacionar sinais de borda, identidade, endpoint, backup e exfiltração. Explorações iniciais em NetScaler, Fortinet EMS ou SimpleHelp devem gerar alertas de integridade de aplicação, execução anômala e autenticações incomuns logo após patch gap conhecido. Em endpoint, a carga de drivers BYOVD filwfp.sys, filnk.sys ou fildds.sys precedendo desativação de serviços de segurança é indicador de alta fidelidade para investigação imediata.
Processos de RMM comerciais (AnyDesk, ScreenConnect, TeamViewer) instalados ou executados fora de inventário autorizado, especialmente após autenticação RDP ou uso de PsExec em hosts adjacentes, merecem triagem de origem, usuário e horário. Presença de beaconing compatível com Cobalt Strike reforça hipótese de operador humano preparando exfiltração e criptografia. Em servidores de backup, monitorar acessos ao repositório Veeam, execução de ferramentas de extração de credenciais e leitura massiva de segredos DPAPI salgados reduz o tempo até contenção.
- Execução de drivers filwfp.sys, filnk.sys ou fildds.sys seguida de falha ou parada de proteções EDR/AV
- Sessões RDP e PsExec encadeadas entre hosts após login suspeito ou credencial de IAB
- Processos Rclone transferindo volumes compactados protegidos por senha para destinos externos
- Desligamento coordenado de VMs ESXi precedendo criação massiva de arquivos criptografados
- Autenticações anômalas em servidores Veeam correlacionadas a horários fora de janela de backup
A resposta deve priorizar eliminação de acesso inicial em bordas, proteção de credenciais de backup e interrupção da linha de exfiltração antes que o criptador Rust seja implantado. Correções para CVE-2023-3519, CVE-2025-5777, CVE-2023-48788 e CVE-2024-57727 reduzem um dos vetores mais repetidos nas campanhas recentes, mas não substituem hardening de identidade e segmentação.
Servidores Veeam exigem isolamento de rede, contas privilegiadas dedicadas, monitoramento de integridade e rotação de segredos após qualquer indicador de dumping. Políticas de aplicação devem restringir instalação de RMM não aprovado e bloquear carregamento de drivers vulneráveis associados a BYOVD. Backups imutáveis offline ou em repositório segregado, testes regulares de restauração e runbooks que assumem desligamento de VMs em ESXi são requisitos operacionais diante de criptadores com multithreading e criptografia parcial.
- Aplicar patches imediatos em Citrix NetScaler, Fortinet EMS e SimpleHelp expostos
- Segmentar servidores Veeam, restringir administração e auditar acesso a credenciais DPAPI salgadas
- Bloquear ou alertar sobre drivers BYOVD conhecidos e ferramentas RMM fora do inventário corporativo
- Instrumentar detecção de Rclone, Cobalt Strike e padrões de compactação pré-exfiltração
- Validar backups imutáveis e exercícios de recuperação assumindo VMs ESXi desligadas pelo operador
0 Comentários