Cybersecurityonderzoekers hebben de evolutie van INC in kaart gebracht van een opkomende ransomware-as-a-service (RaaS)-operatie tot een van de meest productieve cybercriminaliteitsgroepen in 2026, met maar liefst 830 slachtoffers sinds augustus 2023.
“De verstoring van LockBit en de sluiting van BlackCat creëerden kansen voor INC om uit te breiden naarmate aangesloten bedrijven migreerden naar alternatieve ransomware-operaties”, aldus Acronis-onderzoeker Darrel Virtusio. “Organisaties in de Verenigde Staten zijn verantwoordelijk voor ruim 65% van de slachtoffers, waarbij juridische dienstverlening, productie, bouw, technologie en gezondheidszorg tot de meest gerichte sectoren behoren.”
De Windows- en Linux/ESXi-encryptors van INC zijn ook herschreven in Rust om de platformonafhankelijke ontwikkeling te vergemakkelijken en beter bestand te zijn tegen reverse engineering-inspanningen. Aanvallen waarbij de ransomware wordt ingezet, worden gekenmerkt door het gebruik van een bijgewerkte credential dumper die zich kan richten op nieuwere Veeam-back-upimplementaties die gebruikmaken van de gezouten DPAPI-credential-encryptie.
Bovendien heeft de verkoop van INC’s Windows- en Linux-varianten op de cybercrime-underground in mei 2024 geleid tot de opkomst van verwante ransomware-families zoals Lynx en Sinobi met “aanzienlijke code-overlap”, zelfs terwijl het merk zich bleef ontwikkelen.
“Inc ransomware-filialen gebruiken een breed scala aan tools en technieken om slachtoffers te targeten”, aldus Acronis. “In hun nieuwste campagnes blijven ze zich richten op niet-gepatchte edge-apparaten voor initiële toegang, dumpen ze inloggegevens van Veeam-back-upservers en gebruiken ze een mix van LOLBins en commerciële RMM-tools om zich door slachtoffernetwerken te verplaatsen.”
De algemene aanvalsketen van de dubbele afpersingsploeg is als volgt:
- Verkrijg initiële toegang via een breed scala aan methoden, waaronder spear-phishing, accountreferenties gekocht bij IAB’s en misbruik van kwetsbaarheden in openbare applicaties zoals Citrix Netscaler (CVE-2023-3519 en CVE-2025-5777), Fortinet EMS (CVE-2023-48788) en SimpleHelp (CVE-2024-57727).
- Haal gevoelige inloggegevens uit de aangetaste omgeving.
- Gebruik living-off-the-land binaries (LOLBins), zoals Remote Desktop Protocol (RDP) en PsExec, voor laterale verplaatsing.
- Gebruik de BYOVD-techniek (bring your own vulnerability drive) met behulp van filwfp.sys, filnk.sys, fildds.sys om de systeemverdediging te schaden.
- Drop Cobalt Strike, AnyDesk, ScreenConnect en TeamViewer voor commando-en-controle.
- Exfiltreer interessante gegevens met behulp van Rclone nadat u ze als met een wachtwoord beveiligde archieven heeft opgeslagen.
- Voer de encryptor uit en versnel het proces met behulp van technieken zoals multithreading en gedeeltelijke encryptie. De payload beschikt over een opdrachtregelinterface die de operator meer controle geeft tijdens praktische implementaties. Wanneer het wordt uitgevoerd met het argument “–esxi”, probeert het virtuele machines af te sluiten.
De bevindingen tonen aan dat ransomware-groepen succes kunnen boeken en kunnen opschalen door algemeen bekende technieken te volgen zonder te moeten leunen op geavanceerde ambachten of op maat gemaakte tools, waardoor in feite een gestage stroom slachtoffers ontstaat in verschillende regio’s en sectoren. Uit gegevens verzameld door ZeroFox blijkt dat INC-ransomware in het eerste kwartaal van 2026 de vierde meest prominente ransomwaregroep is geworden, na Qilin (338), Akira (197) en The Gentlemen (192), goed voor meer dan 120 incidenten gedurende de periode.
“INC blijft zijn ransomware-operatie versterken door op Rust gebaseerde payload-herschrijvingen en voortdurende verbetering van de toolkit, terwijl het zich zorgvuldig richt op sectoren zoals de gezondheidszorg, juridische dienstverlening, professionele dienstverlening, productie en de bouw, waar operationele downtime een sterke financiële druk creëert om te betalen”, aldus Acronis.
“Deze dreiging wordt nog versterkt omdat deze sectoren sterk afhankelijk zijn van ononderbroken activiteiten en toeleveringsketens, waardoor het risico op onderpandblootstelling via leveranciersnetwerken en downstream-partners toeneemt wanneer zich inbreuken voordoen.”
