Nel panorama della cybersecurity del 2026 il ransomware INC si è affermato come una delle minacce più rilevanti nel modello ransomware as a service. Dalla comparsa nell’estate 2023 il gruppo avrebbe rivendicato oltre 830 vittime, mostrando una crescita rapida favorita anche dai cambiamenti nel mercato criminale dopo le difficoltà incontrate da grandi brand del ransomware.
La maggior parte delle organizzazioni colpite risulta negli Stati Uniti con una quota superiore al 65 per cento, e i settori più esposti includono servizi legali, manifattura, costruzioni, tecnologia e sanità, dove i tempi di fermo operativo aumentano la pressione economica.
Un elemento chiave dell’evoluzione di INC ransomware è la riscrittura degli encryptor per Windows e per Linux ESXi in Rust, scelta che abilita sviluppo multipiattaforma e maggiore resistenza all’analisi. Questa modernizzazione si accompagna a un toolkit in espansione, con tecniche di attacco che non richiedono necessariamente capacità avanzate ma sfruttano metodi collaudati e ripetibili. Un punto critico è il furto di credenziali, anche tramite strumenti aggiornati per colpire i server di backup Veeam, inclusi scenari con cifratura delle credenziali basata su DPAPI con salting, aumentando il rischio di compromissione dei backup e quindi la probabilità di successo dell’estorsione.
La catena di attacco tipica include accesso iniziale ottenuto con spear phishing, credenziali acquistate da initial access broker e sfruttamento di vulnerabilità su dispositivi esposti in rete. Tra i bersagli citati compaiono applicazioni e gateway come Citrix Netscaler, Fortinet EMS e SimpleHelp, a conferma che la gestione delle patch resta un fattore determinante. Dopo l’ingresso, gli affiliati estraggono credenziali e si muovono lateralmente con strumenti living off the land come RDP e PsExec. Per indebolire le difese possono usare la tecnica bring your own vulnerable driver, mentre per comando e controllo ricorrono a framework e strumenti RMM come Cobalt Strike, AnyDesk, ScreenConnect e TeamViewer.
La fase di esfiltrazione dati avviene spesso con Rclone dopo lo staging in archivi protetti da password, coerente con la strategia di double extortion. Infine viene eseguito il payload di cifratura ottimizzato con multithreading e cifratura parziale, con opzioni a riga di comando e funzioni specifiche per ambienti virtualizzati ESXi, inclusi tentativi di spegnimento delle macchine virtuali.