Boletín de ataques híbridos: Descubriendo Salt Typhoon - La tormenta silenciosa de los ciberataques a las telecos >

Vectra AI Japón、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
cybercriminels
>
Grupo de ransomware

INC Ransom

INC Ransom lleva atacando infraestructuras críticas con un sofisticado ransomware desde 2023. Combina técnicas avanzadas de intrusión y tácticas de extorsión, lo que lo convierte en una grave amenaza para organizaciones de todo el mundo. El grupo plantea riesgos significativos para organizaciones de sectores como la sanidad, la industria manufacturera, la administración pública y la tecnología.

Detectar las TTP de INC Ransom
¿Está su organización a salvo de INC Ransom?
Fondo
Objetivos
TTPs
Detección
Preguntas frecuentes
Ver sesión informativa sobre amenazas

El origen de INC Ransom

INC Ransom es un sofisticado grupo de ransomware que surgió en agosto de 2023. El grupo emplea una estrategia de ataque metódica y en varias fases, dirigida a organizaciones vulnerables con una combinación de campañas de spear-phishing y la explotación de vulnerabilidades conocidas. En particular, el grupo ha sido vinculado a la explotación de CVE-2023-3519, un fallo crítico en Citrix NetScaler, para obtener acceso inicial. Sus operaciones implican esfuerzos altamente coordinados para maximizar el daño y exigir el pago de rescates, a menudo aprovechando tácticas de "doble extorsión" en las que los datos robados se exfiltran antes de ser cifrados. INC Ransom se caracteriza por su capacidad para adaptarse, solucionar problemas y superar desafíos técnicos durante los ataques, lo que indica una operación bien organizada y hábil.

Aunque no se conocen públicamente las personas o grupos concretos que están detrás de INC Ransom , los investigadores en ciberseguridad creen que los delincuentes rusos están detrás de la operación.

Fuentes: SOCradar

El origen de INC Ransom
Objetivos

INC RansomObjetivos

Países objetivo del rescate del INC

El grupo opera en todo el mundo, con una notable actividad en Norteamérica, Europa y partes de Asia. Países como Estados Unidos, Reino Unido, Alemania y Australia han informado de incidentes atribuidos a INC Ransom. Sus campañas no muestran limitaciones regionales significativas, lo que indica que sus objetivos están influidos por la oportunidad y el posible beneficio económico más que por motivaciones geopolíticas.

Fuente: Ransomware.live

Industrias objetivo del rescate del INC

INC Ransom es conocida por su amplia estrategia de selección de objetivos, centrada en sectores con infraestructuras críticas y escasa resistencia a las interrupciones operativas. Instituciones educativas, organizaciones gubernamentales, fabricantes, minoristas, empresas energéticas y de servicios públicos e instituciones financieras han sido objetivos de sus ataques. Lo más destacado es que INC Ransom ha atacado datos confidenciales del sector sanitario, con ataques dañinos contra un hospital infantil en el Reino Unido y una junta sanitaria en Escocia.

Fuentes: Ransomware.live, Revista Infosecurity, The Times

Industrias objetivo del rescate del INC

INC Ransom es conocida por su amplia estrategia de selección de objetivos, centrada en sectores con infraestructuras críticas y escasa resistencia a las interrupciones operativas. Instituciones educativas, organizaciones gubernamentales, fabricantes, minoristas, empresas energéticas y de servicios públicos e instituciones financieras han sido objetivos de sus ataques. Lo más destacado es que INC Ransom ha atacado datos confidenciales del sector sanitario, con ataques dañinos contra un hospital infantil en el Reino Unido y una junta sanitaria en Escocia.

Fuentes: Ransomware.live, Revista Infosecurity, The Times

Las víctimas del rescate del INC

Se calcula que 214 organizaciones han sido víctimas de ataques a través de INC Ransom . INC Ransom se ha relacionado con ataques de gran repercusión a redes de hospitales, administraciones municipales y empresas medianas. Aunque a menudo no se revelan los nombres concretos de las víctimas, los informes públicos revelan que se centran en organizaciones con defensas de ciberseguridad débiles o que utilizan sistemas anticuados susceptibles de ser explotados.

Fuente: Ransomware.live

Método de ataque

INC Ransom método de ataque

Acceso inicial
Escalada de privilegios
Defensa Evasión
Acceso con credenciales
Descubrimiento
Movimiento lateral
Colección
Ejecución
Exfiltración
Impacto
Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

Utiliza correos electrónicos spear-phishing o aprovecha vulnerabilidades en aplicaciones de cara al público, como CVE-2023-3519 en Citrix NetScaler.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

Aprovecha herramientas como RDP para escalar privilegios dentro del sistema comprometido.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.

Emplea archivos ofuscados, como disfrazar PSExec como "winupd", para evitar su detección.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

Utiliza herramientas como Lsassy.py para volcar las credenciales de la memoria.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

Despliega herramientas como NETSCAN.EXE y Advanced IP Scanner para el reconocimiento de redes con el fin de identificar objetivos de alto valor.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

Utiliza software de escritorio remoto como AnyDesk.exe para moverte dentro de la red.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.

Organiza los datos utilizando 7-Zip y MEGASync para la exfiltración y el cifrado.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

Ejecuta scripts de cifrado utilizando wmic.exe e instancias PSExec camufladas para iniciar el despliegue del ransomware.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

Transfiere datos robados para tácticas de doble extorsión utilizando MEGASync u otras plataformas basadas en cloud.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

Cifra y/o destruye archivos críticos, exigiendo el pago de un rescate para restaurar el acceso y evitar la fuga de datos.

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.
Acceso inicial

Utiliza correos electrónicos spear-phishing o aprovecha vulnerabilidades en aplicaciones de cara al público, como CVE-2023-3519 en Citrix NetScaler.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.
Escalada de privilegios

Aprovecha herramientas como RDP para escalar privilegios dentro del sistema comprometido.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.
Defensa Evasión

Emplea archivos ofuscados, como disfrazar PSExec como "winupd", para evitar su detección.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.
Acceso con credenciales

Utiliza herramientas como Lsassy.py para volcar las credenciales de la memoria.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.
Descubrimiento

Despliega herramientas como NETSCAN.EXE y Advanced IP Scanner para el reconocimiento de redes con el fin de identificar objetivos de alto valor.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.
Movimiento lateral

Utiliza software de escritorio remoto como AnyDesk.exe para moverte dentro de la red.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.
Colección

Organiza los datos utilizando 7-Zip y MEGASync para la exfiltración y el cifrado.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.
Ejecución

Ejecuta scripts de cifrado utilizando wmic.exe e instancias PSExec camufladas para iniciar el despliegue del ransomware.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.
Exfiltración

Transfiere datos robados para tácticas de doble extorsión utilizando MEGASync u otras plataformas basadas en cloud.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.
Impacto

Cifra y/o destruye archivos críticos, exigiendo el pago de un rescate para restaurar el acceso y evitar la fuga de datos.

MITRE ATT&CK Cartografía

TTPs utilizados por INC Ransom

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1074
Data Staged
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
No items found.
TA0040: Impact
T1485
Data Destruction
T1486
Data Encrypted for Impact
Detección de plataformas

Cómo detectar amenazas como el rescate INC con Vectra AI

M365 Ransomware

Ransomware File Activity

Suspicious Remote Execution

Ver más detecciones
Evalúe su exposición a los ataques

Preguntas frecuentes

¿Está su organización a salvo de INC Ransom?

Evalúe su exposición a los ataques