Los investigadores de ciberseguridad han trazado la evolución de INC desde una incipiente operación de ransomware como servicio (RaaS) hasta uno de los grupos de ciberdelincuencia más prolíficos en 2026, afirmando nada menos que 830 víctimas desde agosto de 2023.

«La interrupción de LockBit y el cierre de BlackCat crearon oportunidades para que INC se expandiera a medida que los afiliados migraban a operaciones alternativas de ransomware», dijo el investigador de Acronis, Darrel Virtusio. dicho. «Las organizaciones estadounidenses representan más del 65% de las víctimas incluidas en la lista, y los servicios legales, la manufactura, la construcción, la tecnología y la atención médica se encuentran entre los sectores más atacados».

Los cifradores de Windows y Linux/ESXi de INC también se han reescrito en Rust para facilitar el desarrollo multiplataforma y resistir mejor los esfuerzos de ingeniería inversa. Los ataques que implementan el ransomware se caracterizan por el uso de un volcador de credenciales actualizado capaz de apuntar a implementaciones de respaldo de Veeam más nuevas que utilizan el cifrado de credenciales DPAPI salado.

Es más, la venta de las variantes de Windows y Linux de INC en el mundo del cibercrimen en mayo de 2024 ha llevado a la aparición de familias de ransomware relacionadas, como Lynx y Sinobi, con una «superposición de código significativa», incluso cuando la marca ha seguido evolucionando.

«Los afiliados de ransomware INC utilizan una amplia gama de herramientas y técnicas para atacar a las víctimas», dijo Acronis. «En sus últimas campañas, continúan apuntando a dispositivos perimetrales sin parches para el acceso inicial, descargan credenciales de los servidores de respaldo de Veeam y utilizan una combinación de LOLBins y herramientas RMM comerciales para moverse a través de las redes de las víctimas».

La cadena de ataque general adoptada por el equipo de doble extorsión es la siguiente:

• Obtenga acceso inicial a través de una amplia gama de métodos, incluido el phishing, las credenciales de cuenta compradas a IAB y la explotación de vulnerabilidades en aplicaciones públicas como Citrix Netscaler (CVE-2023-3519 y CVE-2025-5777), Fortinet EMS (CVE-2023-48788) y Ayuda simple (CVE-2024-57727).
• Extraiga credenciales confidenciales del entorno comprometido.
• Utilice binarios que viven fuera de la tierra (LOLBins), como el protocolo de escritorio remoto (RDP) y PsExec, para el movimiento lateral.
• Emplee la técnica de traer su propia unidad vulnerable (BYOVD) utilizando filwfp.sys, filnk.sys, fildds.sys para dañar las defensas del sistema.
• Elimine Cobalt Strike, AnyDesk, ScreenConnect y TeamViewer para comando y control.
• Extraiga datos de interés utilizando Rclone después de almacenarlos como archivos protegidos con contraseña.
• Ejecute el cifrador y acelere el proceso utilizando técnicas como subprocesos múltiples y cifrado parcial. La carga útil presenta una interfaz de línea de comandos que le brinda al operador más control durante las implementaciones prácticas. Cuando se ejecuta con el argumento «–esxi», intenta apagar las máquinas virtuales.

Los hallazgos muestran que los grupos de ransomware pueden tener éxito y crecer siguiendo técnicas ampliamente conocidas sin tener que depender de técnicas avanzadas o herramientas personalizadas, lo que produce efectivamente un flujo constante de víctimas que abarca diversas geografías y sectores. Datos recopilados por ZeroFox muestra que INC ransomware surgió como el cuarto grupo de ransomware más destacado en el primer trimestre de 2026 después de Qilin (338), Akira (197) y The Gentlemen (192), representando más de 120 incidentes durante el período.

«INC continúa fortaleciendo su operación de ransomware a través de reescrituras de carga útil basadas en Rust y mejora continua del kit de herramientas, mientras se dirige cuidadosamente a industrias como la atención médica, los servicios legales, los servicios profesionales, la fabricación y la construcción donde el tiempo de inactividad operativa crea una fuerte presión financiera para pagar», dijo Acronis.

«Esta amenaza se amplifica aún más porque estos sectores dependen en gran medida de operaciones y cadenas de suministro ininterrumpidas, lo que aumenta el riesgo de exposición colateral en las redes de proveedores y socios intermedios cuando se producen violaciones».