Bollettino degli attacchi ibridi: Scoprire Salt Typhoon - La tempesta silenziosa nei cyberattacchi delle telecomunicazioni >

Vectra AI Giappone, ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
cybercriminels
>
Gruppo Ransomware

INC Ransom

INC Ransom ha preso di mira le infrastrutture critiche con un sofisticato ransomware dal 2023. Combina tecniche di intrusione avanzate e tattiche di estorsione, rappresentando una seria minaccia per le organizzazioni di tutto il mondo. Il gruppo rappresenta un rischio significativo per le organizzazioni in settori quali la sanità, la produzione, la pubblica amministrazione e la tecnologia.

Rilevare i TTP di INC Ransom
La vostra organizzazione è al sicuro da INC Ransom?
Sfondo
Obiettivi
TTP
Rilevamento
DOMANDE FREQUENTI
Guarda il Briefing sulle minacce

L'origine di INC Ransom

INC Ransom è un gruppo di ransomware sofisticato emerso nell'agosto 2023. Il gruppo impiega una strategia di attacco metodica e in più fasi, prendendo di mira le organizzazioni vulnerabili con una combinazione di campagne spearphishing e sfruttamento di vulnerabilità note. In particolare, il gruppo è stato collegato allo sfruttamento di CVE-2023-3519, una falla critica in Citrix NetScaler, per ottenere l'accesso iniziale. Le loro operazioni comportano sforzi altamente coordinati per massimizzare il danno e imporre il pagamento del riscatto, spesso sfruttando tattiche di "doppia estorsione" in cui i dati rubati vengono esfiltrati prima di essere crittografati. INC Ransom si caratterizza per la sua capacità di adattarsi, risolvere i problemi e superare le sfide tecniche durante gli attacchi, il che indica un'operazione ben organizzata e qualificata.

Sebbene gli individui o i gruppi specifici che si celano dietro INC Ransom non siano pubblicamente noti, i ricercatori di cybersicurezza ritengono che dietro l'operazione ci siano criminali russi.

Fonti: SOCradar

L'origine di INC Ransom
Obiettivi

INC RansomObiettivi

Paesi presi di mira dal riscatto INC

Il gruppo opera a livello globale, con attività di rilievo in Nord America, Europa e parte dell'Asia. Paesi come gli Stati Uniti, il Regno Unito, la Germania e l'Australia hanno riportato incidenti attribuiti a INC Ransom. Le loro campagne non mostrano limitazioni regionali significative, il che indica che i loro obiettivi sono influenzati dall'opportunità e dal potenziale guadagno finanziario piuttosto che da motivazioni geopolitiche.

Fonte: Ransomware.live

Industrie prese di mira dal riscatto INC

INC Ransom è nota per la sua ampia strategia di targeting, che si concentra sui settori con infrastrutture critiche e bassa resilienza alle interruzioni operative. Sono stati presi di mira istituti scolastici, organizzazioni governative, produttori, rivenditori, aziende energetiche e di servizi e istituzioni finanziarie. In particolare, INC Ransom ha preso di mira i dati sensibili del settore sanitario, con attacchi dannosi a un ospedale pediatrico nel Regno Unito e a un ente sanitario in Scozia.

Fonti: Ransomware.live, Rivista Infosecurity, Il Times

Industrie prese di mira dal riscatto INC

INC Ransom è nota per la sua ampia strategia di targeting, che si concentra sui settori con infrastrutture critiche e bassa resilienza alle interruzioni operative. Sono stati presi di mira istituti scolastici, organizzazioni governative, produttori, rivenditori, aziende energetiche e di servizi e istituzioni finanziarie. In particolare, INC Ransom ha preso di mira i dati sensibili del settore sanitario, con attacchi dannosi a un ospedale pediatrico nel Regno Unito e a un ente sanitario in Scozia.

Fonti: Ransomware.live, Rivista Infosecurity, Il Times

Le vittime del riscatto INC

Si stima che 214 organizzazioni siano state vittime degli attacchi di INC Ransom . INC Ransom è stato collegato ad attacchi di alto profilo a reti ospedaliere, amministrazioni comunali e medie imprese. Sebbene i nomi specifici delle vittime siano spesso non divulgati, le notizie pubbliche rivelano un'attenzione particolare per le organizzazioni con difese di sicurezza informatica deboli o che utilizzano sistemi obsoleti suscettibili di sfruttamento.

Fonte: Ransomware.live

Metodo di attacco

INC Ransom metodo di attacco

Accesso iniziale
Escalation dei privilegi
Difesa Evasione
Accesso alle credenziali
Scoperta
Movimento laterale
Collezione
Esecuzione
Esfiltrazione
Impatto
Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.

Utilizza le e-mail di spearphishing o sfrutta le vulnerabilità nelle applicazioni rivolte al pubblico, come CVE-2023-3519 in Citrix NetScaler.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.

Sfrutta strumenti come RDP per aumentare i privilegi all'interno del sistema compromesso.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Utilizza file offuscati, ad esempio camuffando PSExec come "winupd", per evitare il rilevamento.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.

Utilizza strumenti come Lsassy.py per scaricare le credenziali dalla memoria.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.

Distribuisce strumenti come NETSCAN.EXE e Advanced IP Scanner per la ricognizione della rete e l'identificazione di obiettivi di alto valore.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.

Utilizza un software di desktop remoto come AnyDesk.exe per spostarsi all'interno della rete.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

Impacchetta i dati utilizzando 7-Zip e MEGASync per l'esfiltrazione e la crittografia.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Esegue script di crittografia utilizzando wmic.exe e istanze PSExec mascherate per avviare la distribuzione del ransomware.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.

Trasferisce i dati rubati per tattiche di doppia estorsione utilizzando MEGASync o altre piattaforme basate su cloud.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.

Crittografa e/o distrugge i file critici, richiedendo il pagamento di un riscatto per ripristinare l'accesso e prevenire le fughe di dati.

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.
Accesso iniziale

Utilizza le e-mail di spearphishing o sfrutta le vulnerabilità nelle applicazioni rivolte al pubblico, come CVE-2023-3519 in Citrix NetScaler.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.
Escalation dei privilegi

Sfrutta strumenti come RDP per aumentare i privilegi all'interno del sistema compromesso.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Difesa Evasione

Utilizza file offuscati, ad esempio camuffando PSExec come "winupd", per evitare il rilevamento.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.
Accesso alle credenziali

Utilizza strumenti come Lsassy.py per scaricare le credenziali dalla memoria.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.
Scoperta

Distribuisce strumenti come NETSCAN.EXE e Advanced IP Scanner per la ricognizione della rete e l'identificazione di obiettivi di alto valore.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.
Movimento laterale

Utilizza un software di desktop remoto come AnyDesk.exe per spostarsi all'interno della rete.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione

Impacchetta i dati utilizzando 7-Zip e MEGASync per l'esfiltrazione e la crittografia.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione

Esegue script di crittografia utilizzando wmic.exe e istanze PSExec mascherate per avviare la distribuzione del ransomware.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.
Esfiltrazione

Trasferisce i dati rubati per tattiche di doppia estorsione utilizzando MEGASync o altre piattaforme basate su cloud.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.
Impatto

Crittografa e/o distrugge i file critici, richiedendo il pagamento di un riscatto per ripristinare l'accesso e prevenire le fughe di dati.

MITRE ATT&CK Mappatura

I TTP utilizzati da INC Ransom

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1074
Data Staged
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
No items found.
TA0040: Impact
T1485
Data Destruction
T1486
Data Encrypted for Impact
Rilevamenti della piattaforma

Come rilevare le minacce come INC ransom con Vectra AI

M365 Ransomware

Ransomware File Activity

Suspicious Remote Execution

Visualizza altri rilevamenti
Valutare l'esposizione agli attacchi

DOMANDE FREQUENTI

La vostra organizzazione è al sicuro da INC Ransom?

Valutare l'esposizione agli attacchi