inc-ransomware - RunkIntel

# INC Ransomware > [!high] RaaS de Dupla Extorsão com Código Vazado em 2024 - Gerou Variante Lynx > INC Ransomware é uma operação RaaS surgida em julho de 2023, especializada em ataques contra grandes organizações via exploits de Citrix NetScaler e credenciais roubadas. O código-fonte foi vendido por aproximadamente USD 300.000 em março de 2024, dando origem à variante Lynx com 70% de similaridade de código. ## Visão Geral INC Ransomware é uma operação de Ransomware-as-a-Service (RaaS) surgida em julho de 2023, operada pelo grupo [[g1032-inc-ransom]]. A operação foca em grandes organizações dos setores de saúde, educação, governo e manufatura, usando principalmente a exploração do CVE-2023-3519 em dispositivos Citrix NetScaler e compra de credenciais de Initial Access Brokers como vetores de acesso inicial. O modelo de dupla extorsão combina criptografia AES multithreaded com exfiltração prévia de dados, e inclui uma técnica distintiva: reinicialização do sistema em Safe Mode para contornar agentes de segurança ativos. Em março de 2024, o código-fonte do INC foi vendido por USD 300.000, originando o Lynx Ransomware com mais de 70% de similaridade — replicando o risco do Babuk de proliferação via vazamento. O grupo já foi responsável por ataques de alto perfil como o comprometimento da Yamaha Canada e do NHS Scotland. Para o Brasil, organizações com dispositivos Citrix NetScaler não atualizados nos setores de saúde, educação e governo municipal são os alvos de maior risco. > [!latam] Relevância para Brasil e LATAM > O INC Ransomware tem alvejado organizações de **saúde** e **educação** globalmente — dois setores com ampla presença no Brasil e historicamente com investimentos menores em segurança. O vazamento do código-fonte em 2024 e o surgimento da variante Lynx aumentam o risco regional: grupos com menor sofisticação técnica podem operar ransomware baseado no INC. Hospitais brasileiros, universidades públicas e órgãos municipais com dispositivos Citrix NetScaler vulneráveis ao **CVE-2023-3519** são alvos de risco elevado. ## Descrição O INC Ransomware é uma operação de **Ransomware-as-a-Service (RaaS)** que emergiu em julho de 2023, operada pelo grupo [[g1032-inc-ransom]]. Adota dupla extorsão - cifra os dados das vítimas e simultaneamente exfiltra informações sensíveis, ameaçando publicá-las em site de vazamento na dark web caso o resgate não seja pago. O grupo foca em grandes organizações dos setores de saúde, educação, governo e manufatura. O acesso inicial é obtido principalmente por dois vetores: exploração de vulnerabilidades em dispositivos Citrix NetScaler (especialmente **CVE-2023-3519**) e compra de credenciais válidas de Initial Access Brokers (IABs). Uma vez dentro da rede, os operadores usam ferramentas como **PsExec**, **WMI**, **AnyDesk** e **TightVNC** para movimento lateral e persistência. Para desativar defesas, usam **HackTool.ProcTerminator** e **ProcessHacker**, encerrando processos de AV, backup (Veeam), bancos de dados (SQL Server) e servidores de email (Exchange). A criptografia do INC usa **algoritmo AES** com chave aleatória gerada via `CryptGenRandom API` e multithreading para velocidade máxima. O malware suporta três modos de cifragem parcial (fast, medium, slow) para equilibrar velocidade e impacto. Arquivos cifrados recebem a extensão **.INC** (versões antigas) ou **.{extensão-original}.INC** (versões mais recentes). O malware também suporta variante Linux que opera como daemon via SSH. Uma característica distintiva é a técnica de **reinicialização em Safe Mode** (T1562.009): o INC registra um serviço (`dmksvc`) para executar na inicialização do Safe Mode e então força reinicialização nesse modo, onde a maioria dos agentes de segurança não está ativa. A nota de resgate (**INC-README.txt** e **INC-README.html**) é depositada em todos os diretórios cifrados, impressa em todas as impressoras de rede, e o wallpaper da área de trabalho é alterado. Em março de 2024, o código-fonte do INC foi vendido por aproximadamente **USD 300.000**, resultando na criação da variante **Lynx Ransomware** (com mais de 70% de similaridade de código), que passou a operar como grupo independente. ## Técnicas Utilizadas | Tática | Técnica | Descrição | |--------|---------|-----------| | Initial Access | [[t1190-exploit-public-facing-application\|T1190]] | Exploit CVE-2023-3519 em Citrix NetScaler | | Initial Access | [[t1078-valid-accounts\|T1078]] | Credenciais compradas de Initial Access Brokers | | Persistence | [[t1053-scheduled-task\|T1053]] | Scheduled Tasks para manutenção de acesso | | Lateral Movement | [[t1021-remote-services\|T1021]] | PsExec, RDP, WMI para movimentação lateral | | Defense Evasion | [[t1562-009-safe-mode-boot\|T1562.009]] | Reinicialização em Safe Mode para evadir AV | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia AES multithreaded, extensão .INC | | Impact | [[t1490-inhibit-system-recovery\|T1490]] | Deleção de Shadow Copies, esvaziamento da lixeira | ## Grupos que Usam - [[g1032-inc-ransom]] - operador original da plataforma RaaS INC desde julho de 2023 ## Detecção 1. **Monitorar registros de serviços para Safe Mode** - o INC cria o serviço `dmksvc` para execução no Safe Mode antes de forçar reinicialização. Detectar via Sysmon criação de serviços com nomes não reconhecidos, especialmente combinado com eventos de reinicialização agendada. 2. **Alertar para ferramentas de terminação de processos** - o uso de **ProcessHacker** e **HackTool.ProcTerminator** para encerrar AV, Veeam e SQL Server é um indicador pré-criptografia. Bloquear via Application Control e alertar para execução dessas ferramentas em contextos corporativos. 3. **Detectar exploração de CVE-2023-3519 em Citrix** - monitorar logs do Citrix NetScaler/ADC para tentativas de exploração desta vulnerabilidade crítica. Aplicar patches disponíveis e implementar WAF com regras específicas para proteção de appliances Citrix. 4. **Monitorar impressão em massa de notas de resgate** - o INC imprime a nota INC-README em todas as impressoras de rede. Soluções de monitoramento de fila de impressão que alertam para jobs de impressão em massa vindos de processos desconhecidos podem detectar o ransomware antes que a criptografia se complete. ## Relevância LATAM/Brasil O INC Ransomware tem alvejado organizações do setor de saúde e educação globalmente - dois setores com ampla presença no Brasil e historicamente com investimentos menores em segurança cibernética. O vazamento do código-fonte em 2024 e o surgimento da variante Lynx aumentam o risco para LATAM: grupos com menor sofisticação técnica podem agora operar ransomware baseado no INC. Hospitais brasileiros, universidades públicas e órgãos municipais com dispositivos Citrix NetScaler não atualizados são alvos de risco elevado para ataques baseados no CVE-2023-3519. ## Referências - [1](https://attack.mitre.org/groups/G1032/) MITRE ATT&CK - G1032 INC Ransom - [2](https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-inc) Trend Micro - INC Ransomware Spotlight - [3](https://www.fortra.com/blog/inc-ransomware-what-need-know) Fortra - INC Ransomware: What You Need to Know - [4](https://www.halcyon.ai/threat-group/inc-ransom) Halcyon - INC Ransom Threat Group Profile - [5](https://reliaquest.com/blog/inc-ransom-attack-analysis/) ReliaQuest - INC Ransom Attack Analysis (2024)