INC Ransom: Rust-шифровальщики, новая версия дампера для Veeam и 800 жертв за три года

ransomware

Группировка INC, действующая по модели "вымогательское ПО как услуга" (RaaS, модель, при которой разработчики предоставляют вредоносное ПО партнёрам за процент от выкупа), превратилась в одного из самых активных операторов программ-вымогателей в 2026 году. С момента своего появления в 2023 году INC заявила о более чем 800 жертвах. Значительный рост активности совпал с прекращением деятельности LockBit и закрытием BlackCat - освободившиеся партнёры перешли к INC. В новом отчёте Acronis Threat Research Unit (подразделение компании-разработчика решений для кибербезопасности) подробно описана эволюция группировки, её инструментарий, тактики и наиболее уязвимые отрасли.

Описание

Исследователи отмечают, что как Windows-, так и Linux/ESXi-версии шифровальщика переписаны на языке Rust. Это даёт злоумышленникам два преимущества: упрощается кроссплатформенная разработка и одновременно усложняется анализ вредоносного кода для специалистов по информационной безопасности. Rust-компиляция создаёт специфические сигнатуры, которые не всегда корректно обрабатываются традиционными антивирусными движками, ориентированными на C++.

В ходе анализа последних инцидентов эксперты обнаружили обновлённый инструмент для кражи учётных данных. Речь идёт о модифицированной версии скрипта Veeam-Get-Creds, который ранее распространялся в открытом доступе. Новая реализация поддерживает работу с современными развёртываниями Veeam, использующими "солёную" (salted) криптографию DPAPI (механизм защиты данных Windows, использующий дополнительную случайную последовательность для усиления шифрования). Если оригинальный скрипт автоматически извлекал настройки подключения из реестра, то модифицированная версия использует жёстко заданные параметры SQL-сервера, экземпляра и базы данных. Такой подход указывает на то, что дампер адаптировался под конкретную целевую среду. Кроме того, в него добавлена процедура дешифрования для новых учётных записей Veeam, благодаря чему инструмент стал надёжнее и совместимее.

Влияние INC выходит за рамки её собственной деятельности. В 2024 году исходный код шифровальщика был выставлен на продажу на подпольных форумах за 300 тысяч долларов. Сразу после этого появились программы-вымогатели Lynx и Sinobi, в которых обнаружено существенное совпадение кода с INC. Таким образом, кодовая база INC распространилась на новые вредоносные операции.

Согласно анализу жертв, более 65% из них находятся в Соединённых Штатах. Среди наиболее атакуемых отраслей - юридические услуги, производство, строительство, технологии и здравоохранение. Юридические фирмы стали особо привлекательной целью из-за большого объёма конфиденциальных документов: соглашений, материалов дел, соглашений о неразглашении. Их утечка может спровоцировать иски о халатности и нанести репутационный ущерб, что увеличивает давление на компанию с требованием выплатить выкуп. При этом вне США жертвы распределены более равномерно по секторам - технологиям, производству и другим. Эта разница указывает на то, что внутри Штатов INC сосредоточена на регулируемых и чувствительных к приватности отраслях, где страховые выплаты делают выкуп вероятным, а в других странах действует менее избирательно.

Цепочка атаки INC включает несколько этапов. Первоначальный доступ злоумышленники получают через фишинговые письма, скомпрометированные учётные данные от брокеров начального доступа (IAB), а также эксплуатацию уязвимостей в публично доступных приложениях. В частности, зафиксировано использование CVE-2023-3519 (Citrix Netscaler), CVE-2023-48788 (Fortinet EMS), CVE-2024-57727 (SimpleHelp RMM) и CVE-2025-5777 (Citrix Bleed 2). После проникновения применяются стандартные команды ping и net, а также инструменты вроде Angry IP Scanner, Advanced IP Scanner и netscan.

Для добычи учётных данных INC разворачивает Base64-кодированный PowerShell-скрипт, который загружает дампер Veeam. В последних атаках также использовался утилит Sysinternals PsKill для завершения процессов, а в одном из случаев - собственный инструмент, который загружает легитимные, но уязвимые драйверы (filwfp.sys, filnk.sys, fildds.sys) и устанавливает их как службу. Таким образом атакующие отключают средства защиты конечных точек (EDR). Для перемещения по сети применяются протокол удалённого рабочего стола (RDP) и PsExec. Для управления (C2) используются Cobalt Strike, AnyDesk, ScreenConnect и TeamViewer - эти инструменты легко маскируются под легитимную активность. Перед шифрованием данные сжимаются с помощью 7-Zip, защищаются паролем и выгружаются в облачные хранилища через rclone. Сам шифровальщик поддерживает многопоточность - количество потоков равно числу логических процессоров, умноженному на четыре. Для ускорения применяется частичное шифрование в зависимости от размера файла.

Технический анализ выявил, что Windows-версия INC защищена обфускатором VMProtect версии 3.X. Linux/ESXi-версия, напротив, не упакована, что упрощает её обратную разработку. Обе версии используют гибридное шифрование: на основе эллиптической кривой Curve25519 (ECC) для обмена ключами и AES-128 в режиме CTR для самих данных. Файлы получают расширение .INC, а в конец записывается сигнатура "INC". Интересной особенностью является встроенная в шифровальщик функция печати: после шифрования сканер сети находит активные принтеры и отправляет им команды на распечатку записок с требованием выкупа.

Группировка управляет двумя веб-сайтами: частным для переговоров с жертвой и публичным для публикации украденных данных.

Специалисты рекомендуют организациям, особенно в здравоохранении, юриспруденции и производстве, уделить первоочередное внимание защите периметра. Следует своевременно устанавливать исправления для уязвимостей на пограничных устройствах, внедрять многофакторную аутентификацию (MFA), сегментировать сети и регулярно проводить обучение персонала методам социальной инженерии. Также критически важно обеспечить автономные и неизменяемые резервные копии по правилу 3-2-1: три копии на двух разных носителях, одна из которых хранится вне основной площадки.

Индикаторы компрометации

Domains

  • incblog.su

Onion Domains

  • incblog6qu4y4mm4zvw5nrmue6qbwtgjsxpw6b7ixzssu36tsajldoad.onion
  • incpaykabjqc2mtdxq6c23nqh4x6m5dkps5fr6vgdkgzp5njssx6qkid.onion

SHA256

  • 1898d056463284d849801cbdea6a3dec6c9f568f01569912c3868a5eea9a5449
  • 1d10d8f5a420d0e4683b4cb40bcf0c984d1e7ea1f3b4442a00a525584632ac11
  • 24f6c0ca39b2a5593086ff56d818ddfbde121f8e44d54faa762e510397dc9db7
  • 31800380c359143ae82c4f9011eee653dd22443d03d6a499148203bbfc275502
  • 589d9480fbfec2d8e61638eb0b537183d0f9977411fd1d2c0f8eb611feebe880
  • 5cc212f84d2bf3fbab165aaf09b16e00fcf2f1ccd880d24b14404c53dcdbf241
  • 60aeb9f7bccf377ff02ed64783e66a62c0f976878d9729b067bc7e5b0b9da9d6
  • 6bf155b269d452f3c3b62832b27bbebe4da436e228dbf521155b1d5989e3743f
  • 6cd349eda0fa6c8b274a0920852c68f8b727afea1fdbc69ad183cef05d9cf141
  • 765508aa2ec6a1b73a76a23f4fa559d32355622748c91a46ed7b315eae2ee60a
  • 7f37351979c249417cb180b4ede0ed17e5fe2a1f08add4d72606b589f8fdb245
  • 8d1a22c430252f29611766b8e4a82af0fba60d609246463466b384d6d4793df4
  • 90e46e89fec2108a1cb4850bb33e3563e92a14d04e1e613ac8c9311f152d294c
  • 97aebda5482899fef84a24e456bff055acaa47e5ab4029f768d9e0c62a660ce2
  • acce811c4fc2a6e3fddd4231e386f1648ca44f039d2d275316bc0a0fc96e0af4
  • bf8c45e5aa9551a17eefbd1d179422c32b4309c47ee9a3f315bb80ed6d4f7efc
  • d26bfb0147f60dc6500a9298d521ee67b49daaf4b8f8be54e7cc8fd86a597570
  • d65120291dee76c694f8bea54841f7f68329b499b28f4aee5ea5c9369a7432cb
  • dc9938f51150d13a69fc25f3f19052eacb1bf0a086fd5cf39762501fb3ddd7da
  • ea721240c14e3d14f8d88e0020880448c6c602f1180a1e5dbe40871cfeedcc22
  • f6a01d0246ce31faf6938ea488086d4358505405a4ef5c5faa482e79e92cb347
  • ff5da8f0330a4c581c37284c74aae2683c007dc6e406e1e2e6803e7bb398b77b

YARA

Комментарии: 0