INC Ransom

INC Ransom hat es seit 2023 mit ausgeklügelten Methoden auf kritische Infrastrukturen abgesehen ransomware . Die Gruppe kombiniert fortschrittliche Eindringungstechniken und Erpressungstaktiken, was sie zu einer ernsthaften Bedrohung für Organisationen weltweit macht. Die Gruppe stellt ein erhebliches Risiko für Organisationen in Bereichen wie Gesundheitswesen, Fertigung, Regierung und Technologie dar.

Aufspüren der TTPs von INC Ransom

Ist Ihre Organisation sicher vor INC Ransom?

Hintergrund

Ziele

TTPs

Erkennung

Häufig gestellte Fragen

Der Ursprung der INC Ransom

INC Ransom ist eine hochentwickelte ransomware Gruppe, die im August 2023 aufgetaucht ist. Die Gruppe wendet eine methodische und mehrstufige Angriffsstrategie an, die anfällige Organisationen mit einer Kombination aus Speer-phishing Kampagnen und der Ausnutzung bekannter Schwachstellen ins Visier nimmt. Insbesondere wurde die Gruppe mit der Ausnutzung von CVE-2023-3519, einer kritischen Schwachstelle in Citrix NetScaler, in Verbindung gebracht, um einen ersten Zugang zu erhalten. Ihre Operationen beinhalten hochgradig koordinierte Bemühungen, um den Schaden zu maximieren und Lösegeldzahlungen zu erzwingen, wobei sie oft eine "doppelte Erpressungstaktik" anwenden, bei der gestohlene Daten vor der Verschlüsselung exfiltriert werden. INC Ransom zeichnet sich durch seine Fähigkeit aus, sich anzupassen, Probleme zu lösen und technische Herausforderungen während der Angriffe zu überwinden, was auf eine gut organisierte und geschickte Operation hindeutet.

Zwar sind die Personen oder Gruppen, die hinter INC Ransom stehen, nicht öffentlich bekannt, aber Cybersecurity-Forscher gehen davon aus, dass russische Kriminelle hinter dieser Operation stehen.

^Quellen:^SOCradar

Ziele

INC RansomZiele

Länder, auf die das INC-Lösegeld abzielt

Die Gruppe operiert weltweit, mit bemerkenswerten Aktivitäten in Nordamerika, Europa und Teilen von Asien. Aus Ländern wie den Vereinigten Staaten, dem Vereinigten Königreich, Deutschland und Australien wurden Vorfälle gemeldet, die INC Ransom zugeschrieben werden. Ihre Kampagnen weisen keine nennenswerten regionalen Beschränkungen auf, was darauf hindeutet, dass ihre Ziele eher von Gelegenheiten und potenziellen finanziellen Gewinnen als von geopolitischen Motiven beeinflusst werden.

^Quelle:^{Ransomware.live}

Von INC-Lösegeld betroffene Branchen

INC Ransom ist bekannt für seine breit angelegte Strategie, die sich auf Branchen mit kritischer Infrastruktur und geringer Widerstandsfähigkeit gegenüber Betriebsstörungen konzentriert. Bildungseinrichtungen, Regierungsorganisationen, Hersteller, Einzelhändler, Energie- und Versorgungsunternehmen sowie Finanzinstitute waren bereits Ziel von Angriffen. Am bekanntesten ist INC Ransom für seine Angriffe auf sensible Daten im Gesundheitswesen, bei denen ein Kinderkrankenhaus im Vereinigten Königreich und eine Gesundheitsbehörde in Schottland Schaden genommen haben.

^Quellen:^{Ransomware.live}^,^{Infosecurity Magazin}^,^{Die Zeit}

Von INC-Lösegeld betroffene Branchen

^Quellen:^{Ransomware.live}^,^{Infosecurity Magazin}^,^{Die Zeit}

INC Lösegeld-Opfer

Schätzungsweise 214 Organisationen sind den Angriffen von INC Ransom zum Opfer gefallen. INC Ransom wurde mit aufsehenerregenden Angriffen auf Krankenhausnetzwerke, Stadtverwaltungen und mittelständische Unternehmen in Verbindung gebracht. Zwar werden die Namen der Opfer oft nicht genannt, doch die öffentliche Berichterstattung zeigt, dass der Schwerpunkt auf Organisationen mit schwachen Cybersicherheitsvorkehrungen oder veralteten Systemen liegt, die anfällig für Angriffe sind.

^Quelle:^{Ransomware.live}

Angriffsmethode

INC Ransom Angriffsmethode

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.

Verwendet Spear-phishing E-Mails oder nutzt Schwachstellen in öffentlich zugänglichen Anwendungen aus, wie z. B. CVE-2023-3519 in Citrix NetScaler.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.

Nutzt Tools wie RDP, um die Privilegien innerhalb des angegriffenen Systems zu erweitern.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.

Verwendet verschleierte Dateien, wie z. B. die Tarnung von PSExec als "winupd", um eine Entdeckung zu vermeiden.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.

Nutzt Tools wie Lsassy.py, um Anmeldedaten aus dem Speicher zu löschen.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.

Einsatz von Tools wie NETSCAN.EXE und Advanced IP Scanner zur Netzwerkaufklärung, um hochwertige Ziele zu identifizieren.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.

Verwendet Remote-Desktop-Software wie AnyDesk.exe, um sich innerhalb des Netzwerks zu bewegen.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.

Staging von Daten mit 7-Zip und MEGASync zur Exfiltration und Verschlüsselung.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.

Führt Verschlüsselungsskripte mit wmic.exe und getarnten PSExec-Instanzen aus, um die Bereitstellung von ransomware zu initiieren.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.

Übermittlung gestohlener Daten für doppelte Erpressungstaktiken unter Verwendung von MEGASync oder anderen cloud-basierten Plattformen.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.

Verschlüsselt und/oder zerstört wichtige Dateien und fordert Lösegeldzahlungen, um den Zugriff wiederherzustellen und Datenlecks zu verhindern.

Erster Zugang

Verwendet Spear-phishing E-Mails oder nutzt Schwachstellen in öffentlich zugänglichen Anwendungen aus, wie z. B. CVE-2023-3519 in Citrix NetScaler.

Rechte-Eskalation

Nutzt Tools wie RDP, um die Privilegien innerhalb des angegriffenen Systems zu erweitern.

Verteidigung Umgehung

Verwendet verschleierte Dateien, wie z. B. die Tarnung von PSExec als "winupd", um eine Entdeckung zu vermeiden.

Zugang zu Anmeldeinformationen

Nutzt Tools wie Lsassy.py, um Anmeldedaten aus dem Speicher zu löschen.

Entdeckung

Einsatz von Tools wie NETSCAN.EXE und Advanced IP Scanner zur Netzwerkaufklärung, um hochwertige Ziele zu identifizieren.

Seitliche Bewegung

Verwendet Remote-Desktop-Software wie AnyDesk.exe, um sich innerhalb des Netzwerks zu bewegen.

Sammlung

Staging von Daten mit 7-Zip und MEGASync zur Exfiltration und Verschlüsselung.

Ausführung

Führt Verschlüsselungsskripte mit wmic.exe und getarnten PSExec-Instanzen aus, um die Bereitstellung von ransomware zu initiieren.

Exfiltration

Übermittlung gestohlener Daten für doppelte Erpressungstaktiken unter Verwendung von MEGASync oder anderen cloud-basierten Plattformen.

Auswirkungen

Verschlüsselt und/oder zerstört wichtige Dateien und fordert Lösegeldzahlungen, um den Zugriff wiederherzustellen und Datenlecks zu verhindern.

MITRE ATT&CK Kartierung

TTPs verwendet von INC Ransom

TA0001: Initial Access

T1566

Phishing

T1190

Exploit Public-Facing Application

T1078

Valid Accounts

TA0002: Execution

T1059

Command and Scripting Interpreter

TA0003: Persistence

T1078

Valid Accounts

TA0004: Privilege Escalation

T1068

Exploitation for Privilege Escalation

T1078

Valid Accounts

TA0005: Defense Evasion

T1027

Obfuscated Files or Information

T1078

Valid Accounts

TA0006: Credential Access

T1003

OS Credential Dumping

TA0007: Discovery

T1016

System Network Configuration Discovery

TA0008: Lateral Movement

T1021

Remote Services

TA0009: Collection

T1074

Data Staged

TA0011: Command and Control

T1105

Ingress Tool Transfer

TA0010: Exfiltration

No items found.

TA0040: Impact

T1485

Data Destruction

T1486

Data Encrypted for Impact

Plattform-Detektionen

INC Ransom

Der Ursprung der INC Ransom

INC RansomZiele

Länder, auf die das INC-Lösegeld abzielt

Von INC-Lösegeld betroffene Branchen

Von INC-Lösegeld betroffene Branchen

INC Lösegeld-Opfer

INC Ransom Angriffsmethode

TTPs verwendet von INC Ransom

Wie erkennt man Bedrohungen wie INC ransom mit Vectra AI

M365 Ransomware

Ransomware File Activity

Suspicious Remote Execution

Häufig gestellte Fragen

Ist Ihre Organisation sicher vor INC Ransom?