INC Ransom
Dal 2023, INC Ransom di mira le infrastrutture critiche con sofisticati attacchi ransomware. Il gruppo combina tecniche di intrusione avanzate e tattiche di estorsione, rappresentando così una grave minaccia per le organizzazioni di tutto il mondo. Esso comporta rischi significativi per le organizzazioni operanti in settori quali la sanità, l'industria manifatturiera, la pubblica amministrazione e la tecnologia.
L'origine di INC Ransom
INC Ransom un sofisticato gruppo di ransomware emerso nell'agosto 2023. Il gruppo adotta una strategia di attacco metodica e articolata in più fasi, prendendo di mira organizzazioni vulnerabili attraverso una combinazione diphishing e lo sfruttamento di vulnerabilità note. In particolare, il gruppo è stato collegato allo sfruttamento della vulnerabilità CVE-2023-3519, una falla critica in Citrix NetScaler, per ottenere l'accesso iniziale. Le loro operazioni comportano sforzi altamente coordinati per massimizzare il danno e imporre il pagamento del riscatto, spesso sfruttando tattiche di "doppia estorsione" in cui i dati rubati vengono sottratti prima di essere crittografati. INC Ransom caratterizza per la sua capacità di adattarsi, risolvere i problemi e superare le sfide tecniche durante gli attacchi, il che indica un'operazione ben organizzata e competente.
Sebbene non INC Ransom noti al pubblico i nomi delle persone o dei gruppi specifici responsabili di INC Ransom , i ricercatori nel campo della sicurezza informatica ritengono che dietro l'operazione ci siano criminali russi.
Fonti: SOCradar
Paesi presi di mira dal ransomware INC
Il gruppo opera a livello globale, con una presenza significativa in Nord America, Europa e in alcune zone dell'Asia. Paesi come gli Stati Uniti, il Regno Unito, la Germania e l'Australia hanno segnalato episodi attribuiti a INC Ransom. Le loro campagne non mostrano limitazioni regionali significative, il che indica che la scelta dei bersagli è influenzata dalle opportunità e dal potenziale guadagno economico piuttosto che da motivazioni geopolitiche.
Settori colpiti dal ransomware INC
INC Ransom noto per la sua strategia di attacco ad ampio raggio, che prende di mira settori caratterizzati da infrastrutture critiche e scarsa resilienza alle interruzioni operative. Tra gli obiettivi figurano istituti scolastici, enti governativi, aziende manifatturiere, rivenditori, società energetiche e di servizi pubblici, nonché istituzioni finanziarie. In particolare, INC Ransom preso di mira dati sensibili nel settore sanitario, sferrando attacchi devastanti contro un ospedale pediatrico nel Regno Unito e un'autorità sanitaria in Scozia.
Le vittime del ransomware INC
Si stima che circa 214 organizzazioni siano state vittime INC Ransom . INC Ransom stato collegato ad attacchi di grande risonanza contro reti ospedaliere, amministrazioni comunali e imprese di medie dimensioni. Sebbene i nomi specifici delle vittime non vengano spesso resi noti, dai resoconti pubblici emerge che gli attacchi si concentrano su organizzazioni con difese di sicurezza informatica carenti o che utilizzano sistemi obsoleti e vulnerabili agli attacchi.
Metodo INC Ransom
Utilizzaphishing o sfrutta le vulnerabilità presenti in applicazioni accessibili al pubblico, come la vulnerabilità CVE-2023-3519 in Citrix NetScaler.
Sfrutta strumenti come RDP per elevare i privilegi all'interno del sistema compromesso.
Utilizza file occultati, ad esempio camuffando PSExec come "winupd", per eludere il rilevamento.
Utilizza strumenti come Lsassy.py per estrarre le credenziali dalla memoria.
Utilizza strumenti come NETSCAN.EXE e Advanced IP Scanner per effettuare ricognizioni di rete e individuare obiettivi di alto valore.
Utilizza software di desktop remoto come AnyDesk.exe per spostarsi all'interno della rete.
Elabora i dati utilizzando 7-Zip e MEGASync per l'esfiltrazione e la crittografia.
Esegue script di crittografia utilizzando wmic.exe e istanze di PSExec camuffate per avviare la diffusione del ransomware.
Trasferisce i dati rubati per mettere in atto tattiche di doppia estorsione utilizzando MEGASync o altre piattaforme cloud.
Crittografa e/o distrugge file importanti, chiedendo il pagamento di un riscatto per ripristinare l'accesso ed evitare la fuga di dati.
Utilizzaphishing o sfrutta le vulnerabilità presenti in applicazioni accessibili al pubblico, come la vulnerabilità CVE-2023-3519 in Citrix NetScaler.
Sfrutta strumenti come RDP per elevare i privilegi all'interno del sistema compromesso.
Utilizza file occultati, ad esempio camuffando PSExec come "winupd", per eludere il rilevamento.
Utilizza strumenti come Lsassy.py per estrarre le credenziali dalla memoria.
Utilizza strumenti come NETSCAN.EXE e Advanced IP Scanner per effettuare ricognizioni di rete e individuare obiettivi di alto valore.
Utilizza software di desktop remoto come AnyDesk.exe per spostarsi all'interno della rete.
Elabora i dati utilizzando 7-Zip e MEGASync per l'esfiltrazione e la crittografia.
Esegue script di crittografia utilizzando wmic.exe e istanze di PSExec camuffate per avviare la diffusione del ransomware.
Trasferisce i dati rubati per mettere in atto tattiche di doppia estorsione utilizzando MEGASync o altre piattaforme cloud.
Crittografa e/o distrugge file importanti, chiedendo il pagamento di un riscatto per ripristinare l'accesso ed evitare la fuga di dati.