INC Ransomware se consolida como una grave amenaza RaaS en 2026
Publicado el
Evolución del INC Ransomware
Desde su surgimiento como un servicio de ransomware (RaaS), INC Ransomware ha escalado rápidamente, afectando a más de 830 víctimas desde agosto de 2023. La investigación de Acronis destaca que la interrupción de grupos como LockBit y el cierre de BlackCat han permitido a INC atraer a nuevos afiliados, convirtiéndose en uno de los grupos de cibercriminalidad más prolíficos de 2026.
Sectores más afectados
Las organizaciones de Estados Unidos representan más del 65% de los afectados, con sectores como servicios legales, manufactura, construcción, tecnología y salud siendo los más atacados. Estos sectores son especialmente vulnerables debido a la presión financiera que enfrentan para mantener la continuidad operativa, lo que les lleva a pagar rescates.
Herramientas y tácticas
Los encryptores de Windows y Linux/ESXi de INC han sido reescritos en Rust, lo que facilita su desarrollo cruzado y mejora su resistencia a la ingeniería inversa. Los ataques de ransomware se caracterizan por el uso de un dumper de credenciales actualizado que apunta a nuevas implementaciones de Veeam que utilizan la encriptación DPAPI.
Los afiliados de INC emplean una amplia variedad de técnicas, incluyendo la explotación de dispositivos de borde no parcheados y el uso de herramientas de administración remota (RMM) para moverse lateralmente en las redes de las víctimas. La cadena de ataque típica incluye: - Acceso inicial a través de spear-phishing, credenciales compradas y explotación de vulnerabilidades en aplicaciones como Citrix Netscaler (CVE-2023-3519), Fortinet EMS (CVE-2023-48788) y SimpleHelp (CVE-2024-57727). - Extracción de credenciales sensibles del entorno comprometido. - Movimiento lateral utilizando binarios de uso común (LOLBins) como RDP y PsExec. - Implementación de técnicas como BYOVD para desactivar las defensas del sistema. - Despliegue de herramientas de comando y control como Cobalt Strike, AnyDesk, ScreenConnect y TeamViewer. - Exfiltración de datos mediante Rclone y archivado protegido con contraseña. - Cifrado de datos utilizando técnicas como multihilo y cifrado parcial, con un interfaz de línea de comandos que permite un mayor control durante las implementaciones.
Crecimiento y riesgos futuros
Los últimos datos de ZeroFox colocan a INC como el cuarto grupo de ransomware más destacado en el primer trimestre de 2026, con más de 120 incidentes reportados. Esto subraya la capacidad del grupo para escalar sus operaciones mediante la adopción de técnicas conocidas, lo que les permite mantener un flujo constante de víctimas en diversas geografías y sectores.
La mejora continua de su operación, a través de reescrituras de cargas útiles y la actualización de herramientas, fortalece su posición en el panorama del cibercrimen. La atención cuidadosa a sectores críticos aumenta el riesgo de exposición colateral, afectando no solo a las organizaciones objetivo, sino también a sus redes de proveedores y socios.