INC Ransom
INC Ransom di mira infrastrutture critiche con sofisticati ransomware dal 2023. Combina tecniche di intrusione avanzate e tattiche di estorsione, rappresentando una grave minaccia per le organizzazioni di tutto il mondo. Il gruppo pone rischi significativi per le organizzazioni in settori quali sanità, produzione, pubblica amministrazione e tecnologia.
L'origine di INC Ransom
INC Ransom un sofisticato gruppo di ransomware emerso nell'agosto 2023. Il gruppo impiega una strategia di attacco metodica e articolata in più fasi, prendendo di mira le organizzazioni vulnerabili con una combinazione diphishing e sfruttamento di vulnerabilità note. In particolare, il gruppo è stato collegato allo sfruttamento di CVE-2023-3519, una falla critica in Citrix NetScaler, per ottenere l'accesso iniziale. Le loro operazioni comportano sforzi altamente coordinati per massimizzare i danni e imporre il pagamento dei riscatti, spesso sfruttando tattiche di "doppia estorsione" in cui i dati rubati vengono sottratti prima di essere crittografati. INC Ransom caratterizza per la sua capacità di adattarsi, risolvere i problemi e superare le sfide tecniche durante gli attacchi, il che indica un'operazione ben organizzata e competente.
Sebbene gli individui o i gruppi specifici dietro INC Ransom non INC Ransom noti al pubblico, i ricercatori di sicurezza informatica ritengono che dietro l'operazione ci siano criminali russi.
Fonti: SOCradar
Paesi presi di mira dal riscatto INC
Il gruppo opera a livello globale, con attività significative in Nord America, Europa e alcune parti dell'Asia. Paesi come Stati Uniti, Regno Unito, Germania e Australia hanno segnalato incidenti attribuiti a INC Ransom. Le loro campagne non mostrano limitazioni regionali significative, il che indica che i loro obiettivi sono influenzati dalle opportunità e dai potenziali guadagni finanziari piuttosto che da motivazioni geopolitiche.
Settori presi di mira dal ransomware INC
INC Ransom noto per la sua strategia di targeting ad ampio raggio, incentrata su settori con infrastrutture critiche e bassa resilienza alle interruzioni operative. Sono stati presi di mira istituti scolastici, organizzazioni governative, produttori, rivenditori, aziende energetiche e di servizi pubblici e istituzioni finanziarie. In particolare, INC Ransom preso di mira i dati sensibili nel settore sanitario, con attacchi dannosi a un ospedale pediatrico nel Regno Unito e a un'azienda sanitaria in Scozia.
Vittime del riscatto INC
Si stima che circa 214 organizzazioni siano state vittime INC Ransom . INC Ransom stato collegato ad attacchi di alto profilo contro reti ospedaliere, amministrazioni comunali e medie imprese. Sebbene i nomi specifici delle vittime spesso non vengano resi noti, dai resoconti pubblici emerge che gli attacchi sono rivolti principalmente alle organizzazioni con difese di sicurezza informatica deboli o che utilizzano sistemi obsoleti e vulnerabili agli attacchi.
Metodo INC Ransom
Utilizzaphishing o sfrutta vulnerabilità nelle applicazioni rivolte al pubblico, come CVE-2023-3519 in Citrix NetScaler.
Sfrutta strumenti come RDP per aumentare i privilegi all'interno del sistema compromesso.
Utilizza file offuscati, come ad esempio mascherare PSExec come "winupd", per evitare il rilevamento.
Utilizza strumenti come Lsassy.py per scaricare le credenziali dalla memoria.
Utilizza strumenti come NETSCAN.EXE e Advanced IP Scanner per la ricognizione della rete al fine di identificare obiettivi di alto valore.
Utilizza software di desktop remoto come AnyDesk.exe per spostarsi all'interno della rete.
Elabora i dati utilizzando 7-Zip e MEGASync per l'esfiltrazione e la crittografia.
Esegue script di crittografia utilizzando wmic.exe e istanze PSExec camuffate per avviare la distribuzione del ransomware.
Trasferisce i dati rubati per attuare tattiche di doppia estorsione utilizzando MEGASync o altre piattaforme cloud.
Crittografa e/o distrugge file critici, richiedendo il pagamento di un riscatto per ripristinare l'accesso e impedire la fuga di dati.
Utilizzaphishing o sfrutta vulnerabilità nelle applicazioni rivolte al pubblico, come CVE-2023-3519 in Citrix NetScaler.
Sfrutta strumenti come RDP per aumentare i privilegi all'interno del sistema compromesso.
Utilizza file offuscati, come ad esempio mascherare PSExec come "winupd", per evitare il rilevamento.
Utilizza strumenti come Lsassy.py per scaricare le credenziali dalla memoria.
Utilizza strumenti come NETSCAN.EXE e Advanced IP Scanner per la ricognizione della rete al fine di identificare obiettivi di alto valore.
Utilizza software di desktop remoto come AnyDesk.exe per spostarsi all'interno della rete.
Elabora i dati utilizzando 7-Zip e MEGASync per l'esfiltrazione e la crittografia.
Esegue script di crittografia utilizzando wmic.exe e istanze PSExec camuffate per avviare la distribuzione del ransomware.
Trasferisce i dati rubati per attuare tattiche di doppia estorsione utilizzando MEGASync o altre piattaforme cloud.
Crittografa e/o distrugge file critici, richiedendo il pagamento di un riscatto per ripristinare l'accesso e impedire la fuga di dati.