g1032-inc-ransom - RunkIntel

# INC Ransom > [!danger] RaaS Emergente com Foco em Saúde e Manufatura - Dupla Extorsão > INC Ransom (GOLD IONIC, Vanilla Tempest) é um dos grupos de ransomware de crescimento mais acelerado desde 2023, com 60+ vitimas confirmadas em seus primeiros meses de operação. O grupo é notório pelos ataques ao **NHS Scotland** (serviço de saúde britânico) em 2024 e ao **Xerox Business Solutions** - atacando infraestrutura crítica de saúde e empresas Fortune 500 sem distinção. O modelo operacional combina exploração de aplicações públicas, Rclone para exfiltração massiva e INC Ransomware customizado com criptografia AES-128 + RSA-2048 para dupla extorsão. ## Visão Geral O **INC Ransom** emergiu em julho de 2023 como um novo operador de Ransomware-as-a-Service (RaaS) ou grupo independente (a estrutura exata de afiliados ainda é incerta). O grupo opera o site de vazamentos "INC RANSOM" na dark web onde pública dados de vitimas que se recusam a pagar. A velocidade de operações é notável: em menos de 12 meses após surgir, o grupo atacou organizações em mais de 14 países, com foco desproporcionalmente alto em **saúde**, **manufatura** e **educação** - setores com sistemas legados, menor maturidade em segurança e pressão operacional para pagar resgates rapidamente. Características técnicas distintivas: - **Velocidade de exfiltração**: uso de [[s1040-rclone|Rclone]] para uploads simultâneos a múltiplos destinos cloud (MEGA, Box, Google Drive) - **Disrupção de backups**: identificação e deleção sistemática de shadow copies e backups conectados antes da criptografia - **Living-off-the-land**: uso extensivo de [[s0552-adfind|AdFind]], [[psexec|PsExec]] e ferramentas nativas Windows para minimizar detecção de AV - **INC payload**: ransomware customizado com criptografia parcial de arquivos grandes (mais rápido, igualmente impacto) O grupo foi associado pela Microsoft a ataques com a tag **Vanilla Tempest**, notavelmente usando o INC Ransomware após acesso inicial via phishing com tema hospitalar - sugerindo especialização em contexto de saúde. ## Attack Flow - Dupla Extorsão ```mermaid graph TB A["Acesso Inicial T1190 CVE em app publica T1566 phishing RDP"] --> B["Reconhecimento Interno T1087.002 domain accounts T1069.002 domain groups"] B --> C["Movimento Lateral T1021.001 RDP T1570 lateral tool transfer"] C --> D["Desabilita Segurança T1562.001 AV/EDR bypass deleção de shadow copies"] D --> E["Exfiltração Massiva T1074 data staging Rclone para cloud"] E --> F["Criptografia INC T1486 AES-128 + RSA arquivos + notas de resgaté"] style A fill:#1a5276,color:#fff style B fill:#c0392b,color:#fff style C fill:#e67e22,color:#fff style D fill:#8e44ad,color:#fff style E fill:#2980b9,color:#fff style F fill:#7b241c,color:#fff ``` ## Distribuição por Setor Atacado ```mermaid pie title Vitimas INC Ransom por Setor (2023-2025) "Saúde e Hospitais" : 35 "Manufatura" : 22 "Educação" : 18 "Governo" : 14 "Tecnologia" : 11 ``` ## Campanhas e Vitimas Notáveis | Data | Vitima | Setor | Impacto | |------|--------|-------|---------| | Jul 2023 | Primeiras vítimas EMEA | Manufatura, tech | Lançamento do grupo; 6 vitimas iniciais | | Out 2023 | Yamaha Motor Philippines | Manufatura | Dados de funcionários e parceiros exfiltrados | | Ján 2024 | Xerox Business Solutions | Tecnologia | Dados de clientes Fortune 500 comprometidos | | Mar 2024 | NHS Scotland | Saúde | 3 TB de dados de pacientes; operações hospitalares impactadas | | Jun 2024 | McLaren Health Care | Saúde | 2,5 milhões de registros de pacientes comprometidos | | 2024-2025 | 60+ organizações globais | Múltiplos | Expansão acelerada em 14 países | ## Arsenal Técnico | Ferramenta | Tipo | Uso | |-----------|------|-----| | [[s1139-inc-ransomware\|INC Ransomware]] | Ransomware | Payload principal; AES-128 + RSA-2048; criptografia parcial em arquivos grandes | | [[s1040-rclone\|Rclone]] | Exfiltração | Uploads para MEGA, Box, Google Drive; alta velocidade de exfiltração | | [[s0552-adfind\|AdFind]] | Reconhecimento | Enumeração de domínio AD; mapa completo de usuários e grupos | | [[psexec\|PsExec]] | Lateral movement | Execução remota em hosts do domínio; deploy do ransomware em massa | | [[s0183-tor\|Tor]] | Anonimato | Comúnicação C2 e site de vazamentos via rede Tor | ## TTPs em Detalhe ### Acesso Inicial - Exploração de aplicações públicas ([[t1190-exploit-public-facing-application|T1190]]) - CVEs em Citrix, Fortinet, VPNs corporativas - Phishing ([[t1566-phishing|T1566]]) com credenciais RDP roubadas ou compradas de IABs - Credenciais válidas obtidas via ataques de força bruta em endpoints expostos ### Reconhecimento e Preparação - [[s0552-adfind|AdFind]] para mapeamento completo de Active Directory ([[t1087-002-domain-account|T1087.002]], [[t1069-002-domain-groups|T1069.002]]) - Enumeração de compartilhamentos de rede ([[t1135-network-share-discovery|T1135]]) para maximizar impacto - Descoberta de soluções de backup conectadas à rede ### Exfiltração e Impacto - Staging de dados em diretório temporário ([[t1074-data-staged|T1074]]) - Upload massivo via [[s1040-rclone|Rclone]] para múltiplos destinos cloud ([[t1537-transfer-data-to-cloud-account|T1537]]) - Deleção de shadow copies (vssadmin delete shadows /all) antes da criptografia - INC Ransomware com criptografia parcial de arquivos grandes (>10MB) para velocidade máxima ## Timeline ```mermaid timeline title INC Ransom - Cronologia 2023-07 : Surgimento do grupo : Primeiras 6 vitimas documentadas 2023-10 : Yamaha Motor Philippines : Primeiro ataque de alto perfil 2024-01 : Xerox Business Solutions : Fortune 500 comprometida 2024-03 : NHS Scotland : 3TB dados pacientes NHS 2024-06 : McLaren Health Care : 2.5M registros pacientes 2024-2025 : Expansão global : 60+ organizações, 14 países ``` ## Relevância para o Brasil e LATAM > [!danger] Ameaça Crescente para Saúde e Manufatura Brasileira > INC Ransom representa ameaça de risco **ALTO e crescente** para o Brasil. O padrão de alvos - hospitais, manufatura, educação - descreve exatamente os setores brasileiros com menor maturidade em segurança e maior pressão para pagar resgates. Os ataques ao NHS Scotland provam a disposição do grupo em atacar saúde pública - um cenário que se replica facilmente no SUS e em hospitais universitários federais. Alvos de alto risco no Brasil: - **Saúde**: REDE D'OR, Fleury, Hapvida, UNIMED, hospitais universitários (HC-FMUSP, InCor, Albert Einstein) - **Manufatura**: indústrias do setor automotivo (ex-ABC paulista), agroindústria, petroquímica - **Educação**: universidades federais com dados de pesquisa e sistemas SIAPE/SISU - **Governo**: prefeituras de grande porte, secretarias estaduais de saúde O modelo de acesso via Citrix/VPN comprometida é particularmente relevante: muitas organizações brasileiras de saúde ainda operam Citrix legacy sem patches atualizados, e RDP exposto à internet é comum em empresas de médio porte. **Medidas prioritárias**: backup imutável offline, segmentação de rede para sistemas clínicos, patch imediato de VPNs e Citrix, monitoramento de Rclone em endpoints. ## Detecção | Indicador | Técnica de Detecção | |-----------|---------------------| | AdFind.exe sendo executado em workstations | EDR: alertas para AdFind ou equivalentes em hosts não-DCs | | Rclone com parâmetros de upload para MEGA/cloud | EDR: processo rclone.exe com argumentos de upload | | Deleção massiva de shadow copies via vssadmin | SIEM: alertas para vssadmin delete executado por usuário normal | | Criptografia massiva em network shares | EDR/NDR: alta taxa de I/O com extensões renomeadas | | PsExec distribuindo executáveis para múltiplos hosts | SIEM: PsExec criando serviços em múltiplos hosts em sequência | | Conexões Tor de hosts internos | Proxy/FW: bloquear tráfego para nós Tor conhecidos | ## Referências - [1](https://attack.mitre.org/groups/G1032/) MITRE ATT&CK - G1032 INC Ransom (2024) - [2](https://www.secureworks.com/blog/gold-ionic-inc-ransomware) SecureWorks - GOLD IONIC INC Ransomware (2024) - [3](https://www.bleepingcomputer.com/news/security/inc-ransom-attack-on-nhs-scotland-claimed-by-inc-ransom-gang/) BleepingComputer - INC Ransom Attack on NHS Scotland (2024) - [4](https://www.microsoft.com/en-us/security/blog/2024/10/22/vanilla-tempest-targets-us-healthcare-sector/) Microsoft Security - Vanilla Tempest Targets US Healthcare Sector (2024) - [5](https://www.sentinelone.com/labs/inc-ransomware-unpacked-technical-analysis/) SentinelOne Labs - INC Ransomware Unpacked Technical Analysis (2024) - [6](https://www.healthcareitnews.com/news/mclaren-health-care-notifies-25-million-patients-data-breach) Healthcare IT News - McLaren Health Care 2.5M Patient Data Breach (2024) **Atores relacionados:** [[lockbit|LockBit]] · [[clop|Cl0p]] (modelo RaaS semelhante) **Malware e ferramentas:** [[s1139-inc-ransomware|INC Ransomware]] · [[s1040-rclone|Rclone]] · [[s0552-adfind|AdFind]] **Setores alvejados:** [[healthcare|Saúde]] · [[manufacturing|Manufatura]] · [[education|Educação]]