O INC Ransomware, uma operação de ransomware como serviço (RaaS) surgida em meados de 2023, já acumula mais de 830 vítimas em três anos e se tornou o quarto grupo mais ativo do mundo no primeiro trimestre de 2026, atrás apenas de Qilin, Akira e The Gentlemen. Dados da Acronis Threat Research Unit e da ZeroFox mostram que o grupo já atacou instituições brasileiras, reescreveu seus encryptores em Rust e atualizou ferramentas para furar servidores de backup Veeam — provando que escala e persistência valem mais que novidade técnica.
Resumo dos pontos-chave:
- O INC Ransomware ultrapassou 830 vítimas desde agosto de 2023 e ocupa a 4ª posição global em incidentes registrados no Q1 de 2026.
- Mais de 65% das vítimas listadas estão nos Estados Unidos, mas o Brasil já entrou no radar — o Hospital Santa Rita foi confirmado como alvo.
- O grupo reescreveu encryptores Windows e Linux/ESXi em Rust, modernizou o dumper de credenciais para servidores Veeam e pratica dupla extorsão.
- Os setores mais atingidos são jurídico, manufatura, construção, tecnologia e saúde — justamente onde o tempo de inatividade pressiona o pagamento.
Quem é o INC Ransomware
O INC Ransomware foi descoberto em meados de 2023 como uma operação RaaS semi-privada, baseada em afiliados, e não como um simples rebrand de outro sindicato criminoso. Desde o início, adotou a tática de dupla extorsão: além de criptografar os dados da vítima, o grupo rouba arquivos sensíveis e ameaça publicá-los em um site de vazamento se o resgate não for pago. É essa segunda pressão que tornou o modelo tão lucrativo — mesmo empresas com backup restaurável acabam cedendo para evitar o escândalo público.
Nos primeiros meses, o INC mirou com força em educação e saúde, setores com orçamentos de TI enxutos e sistemas legados. Um estudo da Acronis Threat Research Unit, assinado pelo pesquisador Darrel Virtusio, mostra que em questão de meses surgiu uma variante Linux/ESXi para atacar infraestrutura VMware — um movimento que reproduz a tendência mais ampla de grupos que tentam maximizar impacto desligando hipervisores e máquinas virtuais inteiras.
Como o grupo cresceu tanto
O salto do INC não veio de genialidade técnica, mas de oportunismo de mercado. A queda do LockBit e o encerramento do BlackCat, dois dos maiores nomes do ramo, abriram espaço para que afiliados migrassem para operações menores em busca de novo lar. O INC acolheu essa mão de obra especializada e escalou. Conforme o relatório da Acronis, “a disrupção do LockBit e o fechamento do BlackCat criaram oportunidades para o INC expandir à medida que afiliados migravam para operações alternativas.”
Em maio de 2024, o código-fonte do INC foi vendido no underground, e disso brotaram dois grupos aparentados com forte sobreposição de código: Lynx e Sinobi. Ambos mantêm rotinas de criptografia idênticas e a mesma flag de linha de comando --esxi, usada para desligar máquinas virtuais. No final de 2024, o veterano Vice Society — conhecido por circular entre payloads de terceiros — também foi observado implantando o INC contra o setor de saúde. O efeito cumulativo: em vez de um único grupo, formou-se um ecossistema.
O Brasil no alvo
Para o leitor brasileiro, o dado mais incômodo é que o INC já tem presença confirmada no país. Em junho de 2025, o grupo reivindicou o ataque ao Hospital Santa Rita, publicando amostras dos arquivos roubados como prova da invasão — a tática clássica de extorsão por vazamento. O caso foi reportado pelo TechNadu e confirmado pelo relatório de panorama de ransomware da BlackFog, que cita a instituição brasileira entre os casos de destaque.
Ataques a hospitais não são apenas um problema de TI: atrasos em prontuários, cirurgias remarcadas e sistemas de imagem offline têm custo humano direto. O INC sabe disso e escolhe alvos onde a pressão para restaurar a operação em horas, e não dias, é máxima. É a engenharia do desespero convertida em modelo de negócio.
A cadeia de invasão
O relatório da Acronis detalha a cadeia de ataque do INC com clareza. A invasão típica segue um roteiro previsível — e é exatamente essa previsibilidade que torna a defesa viável, desde que as brechas sejam fechadas a tempo:
- Acesso inicial: spear-phishing, credenciais compradas de brokers de acesso (IAB) — o mercado de IABs que alimenta grupos de ransomware é o mesmo que abastece o INC — ou exploração de falhas em dispositivos expostos — Citrix NetScaler (CVE-2023-3519 e CVE-2025-5777), Fortinet EMS (CVE-2023-48788) e SimpleHelp (CVE-2024-57727). O padrão de exploração de VPNs de perímetro desatualizadas é o mesmo que tem vitimado empresas brasileiras.
- Roubo de credenciais: extração de senhas do ambiente comprometido, com destaque para um dumper atualizado capaz de quebrar o armazenamento salted DPAPI dos servidores de backup Veeam mais novos.
- Movimentação lateral: uso de LOLBins (binários legítimos do sistema) como RDP e PsExec para se espalhar pela rede sem levantar alertas.
- Neutralização de defesas: técnica BYOVD (traga seu próprio driver vulnerável) com arquivos como
filwfp.sys,filnk.sysefildds.syspara derrubar antivírus e EDR. - Comando e controle: implantação de Cobalt Strike e ferramentas legítimas de acesso remoto — AnyDesk, ScreenConnect e TeamViewer — para manter presença silenciosa.
- Exfiltração: uso do Rclone para vazamento de dados empacotados em arquivos protegidos por senha.
- Impacto: execução do encryptor com multithreading e criptografia parcial para acelerar o processo; a flag
--esxidesliga máquinas virtuais antes de cifrar.
Nenhum desses passos exige capacidade de estado-nação. O ponto central do alerta da Acronis é que grupos criminosos conseguem escalar seguindo técnicas amplamente conhecidas, sem depender de ferramentas sofisticadas ou sob encomenda. Quem ainda trata ransomware como ameaça exótica está dois anos atrasado.
Por que saúde sofre mais
A escolha de alvos pelo INC é friamente racional. Os setores mais visados — serviços jurídicos, manufatura, construção, tecnologia e saúde — compartilham uma característica decisiva: parar a operação custa caro por hora. Uma linha de produção parada, um hospital sem acesso a exames ou um escritório de advocacia sem processo eletrônico geram perdas que ultrapassam rapidamente o valor do resgate pedido. É essa equação financeira, e não a fragilidade técnica, que define o alvo.
O relatório da Acronis reforça: a ameaça “é amplificada porque esses setores dependem fortemente de operações ininterruptas e cadeias de suprimentos, aumentando o risco de exposição colateral em redes de fornecedores e parceiros downstream quando ocorrem violações”. Para o Brasil, onde hospitais, fábricas e construtoras frequentemente rodam sistemas Windows desatualizados e VPNs de perímetro, o encaixe é perfeito.
Os números globais explicam o tamanho do problema. Segundo a Chainalysis, ataques de ransomware arrecadaram cerca de US$ 813,5 milhões com vítimas em 2024 — uma queda de 35% frente ao recorde de US$ 1,25 bilhão de 2023, mas ainda assim um mercado gigantesco. A queda não significa menos ataques, e sim menos pagamentos: as vítimas estão se recusando a pagar com mais frequência, o que empurra os grupos a serem mais agressivos na extorsão por vazamento.
Os maiores grupos em 2026
O ranking consolidado pela ZeroFox para o Q1 de 2026 ajuda a entender onde o INC se encaixa no cenário global:
| Posição | Grupo | Incidentes no Q1 2026 |
|---|---|---|
| 1º | Qilin | 338 |
| 2º | Akira | 197 |
| 3º | The Gentlemen | 192 |
| 4º | INC Ransomware | mais de 120 |
Considerando o histórico acumulado desde 2023, o INC já supera 830 vítimas publicadas. A projeção da equipe de inteligência é que, mantido o fluxo de afiliados, o número ultrapasse 1.100 antes de dezembro de 2026.
O que fazer para se defender
Como a cadeia do INC depende de falhas conhecidas e de ferramentas legítimas, a defesa é mais questão de disciplina que de orçamento. As ações de maior impacto, na ordem de prioridade:
- Patchear dispositivos de perímetro: Citrix NetScaler, Fortinet EMS e SimpleHelp estão no topo da lista de vetores do INC. Serviços expostos à internet sem atualização são porta de entrada garantida.
- Proteger o Veeam: o backup é a última linha de defesa — e é exatamente o que o INC mira com o dumper atualizado. Isole credenciais, ative MFA administrativo e monitore acessos anômalos ao servidor de backup.
- Bloquear BYOVD: restringir carregamento de drivers não assinados e monitorar a presença de arquivos como
filwfp.sysevita que o atacante desarme o EDR. - Monitorar LOLBins e RMM: AnyDesk, ScreenConnect e TeamViewer instalados fora do padrão corporativo são sinais de presença adversária. Lista de permissões resolve.
- Backups offline e testados: o ataque ao Veeam só dói quando não há cópia 3-2-1 impenetrável. Backup que nunca foi testado em restauração não é backup — é esperança.
O recado é direto: o INC Ransomware vence pela repetição, não pela inovação. Quem fecha as brechas conhecidas, isola o backup e treina a equipe para reconhecer spear-phishing corta a maior parte do risco. O grupo só prospera enquanto houver servidores desatualizados expostos à internet e backups acessíveis com a mesma credencial de domínio.
Leia também: o ransomware na Europa disparou 55% em 2026 por causa de fornecedores — um vetor de cadeia de suprimentos que torna o problema de qualquer empresa também o problema dos seus parceiros.
Referências
- The Hacker News — INC Ransomware Emerges as Major RaaS Threat in 2026 with 830+ Victims
- Acronis Threat Research Unit — From emerging threat to top-tier RaaS: the evolution of INC ransomware (Darrel Virtusio)
- The Factum — INC Ransomware Hits 830 Victims via Rust Rewrites and Veeam Credential Theft
- TechNadu — Hospital Santa Rita in Brazil Claimed by INC Ransomware Group
- BlackFog — The State of Ransomware 2025
- Chainalysis — Crypto Crime Ransomware Victim Extortion 2025