Bulletin sur les attaques hybrides : Découvrir Salt Typhoon - La tempête silencieuse dans les cyberattaques des opérateurs télécoms >

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
cybercriminels
>
Groupe de Ransomware

INC Ransom

INC Ransom s'attaque aux infrastructures critiques avec un ransomware sophistiqué depuis 2023. Il combine des techniques d'intrusion avancées et des tactiques d'extorsion, ce qui en fait une menace sérieuse pour les organisations du monde entier. Le groupe fait peser des risques importants sur des organisations dans des secteurs tels que la santé, l'industrie, le gouvernement et la technologie.

Détecter les TTPs de INC Ransom
Votre organisation est-elle à l'abri de INC Ransom?
Contexte
Cibles
TTPs
Détection
Foire aux questions
Regarder notre Threat Briefing

L'origine de INC Ransom

INC Ransom est un groupe de ransomware sophistiqué apparu en août 2023. Le groupe utilise une stratégie d'attaque méthodique et en plusieurs étapes, ciblant les organisations vulnérables avec une combinaison de campagnes spear-phishing et l'exploitation de vulnérabilités connues. Le groupe a notamment été associé à l'exploitation de CVE-2023-3519, une faille critique dans Citrix NetScaler, pour obtenir un accès initial. Leurs opérations impliquent des efforts hautement coordonnés pour maximiser les dommages et imposer le paiement de rançons, en s'appuyant souvent sur des tactiques de "double extorsion" où les données volées sont exfiltrées avant d'être cryptées. INC Ransom se caractérise par sa capacité à s'adapter, à résoudre les problèmes et à surmonter les défis techniques pendant les attaques, ce qui indique une opération bien organisée et qualifiée.

Bien que les personnes ou les groupes à l'origine de INC Ransom ne soient pas publiquement connus, les chercheurs en cybersécurité pensent que des criminels russes sont derrière cette opération.

Sources : SOCradar

L'origine de INC Ransom
Cibles

Qui cible INC Ransom?

Pays visés par INC Ransom

Le groupe opère à l'échelle mondiale, avec une activité notable en Amérique du Nord, en Europe et dans certaines parties de l'Asie. Des pays tels que les États-Unis, le Royaume-Uni, l'Allemagne et l'Australie ont signalé des incidents attribués à INC Ransom. Leurs campagnes ne présentent pas de limites régionales significatives, ce qui indique que leur ciblage est influencé par les opportunités et les gains financiers potentiels plutôt que par des motivations géopolitiques.

Source : Ransomware.live

Industries ciblées par INC Ransom

INC Ransom est connu pour sa stratégie de ciblage large, qui se concentre sur les industries dotées d'une infrastructure critique et d'une faible résilience aux perturbations opérationnelles. Des établissements d'enseignement, des organisations gouvernementales, des fabricants, des détaillants, des sociétés d'énergie et de services publics, ainsi que des institutions financières ont tous été visés. Plus particulièrement, INC Ransom s'est attaqué à des données sensibles dans le secteur de la santé, avec des attaques préjudiciables contre un hôpital pour enfants au Royaume-Uni et un conseil de santé en Écosse.

Sources : Ransomware.live, Infosecurity Magazine, The Times

Industries ciblées par INC Ransom

INC Ransom est connu pour sa stratégie de ciblage large, qui se concentre sur les industries dotées d'une infrastructure critique et d'une faible résilience aux perturbations opérationnelles. Des établissements d'enseignement, des organisations gouvernementales, des fabricants, des détaillants, des sociétés d'énergie et de services publics, ainsi que des institutions financières ont tous été visés. Plus particulièrement, INC Ransom s'est attaqué à des données sensibles dans le secteur de la santé, avec des attaques préjudiciables contre un hôpital pour enfants au Royaume-Uni et un conseil de santé en Écosse.

Sources : Ransomware.live, Infosecurity Magazine, The Times

Les victimes de INC Ransom

On estime à 214 le nombre d'organisations victimes des attaques de INC Ransom. INC Ransom a été associé à des attaques très médiatisées contre des réseaux hospitaliers, des administrations municipales et des entreprises de taille moyenne. Bien que les noms des victimes ne soient souvent pas divulgués, les rapports publics révèlent que l'accent est mis sur les organisations dont les défenses en matière de cybersécurité sont faibles ou qui utilisent des systèmes obsolètes susceptibles d'être exploités.

Source : Ransomware.live

Méthode d'attaque

Méthode d'attaque d'INC Ransom

Accès Initial
Élévation de privilèges
Défense Evasion
Accès aux identifiants
Découverte
Mouvement latéral
Collection
Exécution
Exfiltration
Impact
Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.

Utilise des courriels de type "spear-phishing " ou exploite des vulnérabilités dans des applications publiques, telles que CVE-2023-3519 dans Citrix NetScaler.

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.

Exploite des outils tels que RDP pour augmenter les privilèges au sein du système compromis.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.

Utilise des fichiers obscurcis, par exemple en déguisant PSExec en "winupd", pour éviter d'être détecté.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.

Utilise des outils tels que Lsassy.py pour extraire les informations d'identification de la mémoire.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.

Déploie des outils tels que NETSCAN.EXE et Advanced IP Scanner pour la reconnaissance des réseaux afin d'identifier les cibles de grande valeur.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.

Utilise un logiciel de bureau à distance tel que AnyDesk.exe pour se déplacer au sein du réseau.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.

Les données sont stockées à l'aide de 7-Zip et MEGASync pour l'exfiltration et le cryptage.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.

Exécute des scripts de chiffrement à l'aide de wmic.exe et d'instances PSExec déguisées pour lancer le déploiement du ransomware.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.

Transfère des données volées pour des tactiques de double extorsion en utilisant MEGASync ou d'autres plateformes basées sur cloud.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.

Chiffre et/ou détruit les fichiers critiques, exigeant le paiement d'une rançon pour rétablir l'accès et empêcher les fuites de données.

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.
Accès Initial

Utilise des courriels de type "spear-phishing " ou exploite des vulnérabilités dans des applications publiques, telles que CVE-2023-3519 dans Citrix NetScaler.

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.
Élévation de privilèges

Exploite des outils tels que RDP pour augmenter les privilèges au sein du système compromis.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.
Défense Evasion

Utilise des fichiers obscurcis, par exemple en déguisant PSExec en "winupd", pour éviter d'être détecté.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.
Accès aux identifiants

Utilise des outils tels que Lsassy.py pour extraire les informations d'identification de la mémoire.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.
Découverte

Déploie des outils tels que NETSCAN.EXE et Advanced IP Scanner pour la reconnaissance des réseaux afin d'identifier les cibles de grande valeur.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.
Mouvement latéral

Utilise un logiciel de bureau à distance tel que AnyDesk.exe pour se déplacer au sein du réseau.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.
Collection

Les données sont stockées à l'aide de 7-Zip et MEGASync pour l'exfiltration et le cryptage.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.
Exécution

Exécute des scripts de chiffrement à l'aide de wmic.exe et d'instances PSExec déguisées pour lancer le déploiement du ransomware.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.
Exfiltration

Transfère des données volées pour des tactiques de double extorsion en utilisant MEGASync ou d'autres plateformes basées sur cloud.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.
Impact

Chiffre et/ou détruit les fichiers critiques, exigeant le paiement d'une rançon pour rétablir l'accès et empêcher les fuites de données.

MITRE ATT&CK Mapping

Les TTPs utilisées par INC Ransom

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1074
Data Staged
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
No items found.
TA0040: Impact
T1485
Data Destruction
T1486
Data Encrypted for Impact
Détections de la plate-forme

Comment détecter les menaces telles que les rançongiciels INC avec Vectra AI

M365 Ransomware

Ransomware File Activity

Suspicious Remote Execution

Voir plus de détections
Évaluez votre exposition aux attaques

Foire aux questions

Votre organisation est-elle à l'abri de INC Ransom?

Évaluez votre exposition aux attaques