O grupo INC Ransomware consolidou-se em 2026 como uma das famílias de Ransomware-as-a-Service (RaaS) mais ativas do mundo, com mais de 800 vítimas registradas desde 2023, segundo análise da Acronis Threat Research Unit divulgada em junho de 2026. Os operadores combinam extorsão dupla de dados roubados com impressão automática de notas de resgate em impressoras de rede, criando pressão psicológica sem precedentes sobre vítimas em setores como saúde, manufatura e serviços jurídicos.
Como o INC evoluiu
O INC reescreveu seus encryptores Windows e Linux/ESXi em Rust, gerando binários multiplataforma com artefatos de compilação pouco familiares que dificultam a análise reversa. Os payloads Windows chegam como binários PE64 fortemente ofuscados, alguns protegidos por VMProtect, e operam de forma dirigida por argumentos de linha de comando — suportando múltiplos modos de criptografia (rápido, médio, lento) e heurísticas de criptografia parcial para acelerar o impacto.
A criptografia híbrida combina chaves derivadas de Curve25519 com construções AES/Salsa para proteger chaves por arquivo, com extensão .INC e assinatura de rodapé característica. Em alvos Linux/ESXi, o binário implementa X25519 ECDH para derivar chaves AES-CTR e enumera máquinas virtuais via vim-cmd, desligando-as antes de criptografar.
Cadeia de ataque do INC
| Fase | Tática INC | Ferramenta |
|---|---|---|
| Acesso inicial | Spear-phishing, credenciais compradas, CVEs | Citrix, Fortinet, SimpleHelp |
| Descoberta lateral | Varredura e movimentação | Angry IP Scanner, PsExec, RDP |
| Roubo de credenciais | Modificação de dumper Veeam | Veeam-Get-Creds.ps1 |
| Exfiltração | Staging em nuvem | 7-Zip, rclone |
| Pressão | Notas físicas + vazamento | Impressoras de rede, leak site |
O detalhe que diferencia o INC é a enumeração ativa de impressoras em rede e o disparo de trabalhos de impressão com instruções de resgate — uma tática que produz notificações físicas visíveis a funcionários e parceiros, elevando o pânico para acelerar o pagamento. A abordagem se soma à troca de wallpapers e a notas .txt/.html nomeadas “INC-README” em diretórios afetados.
Vítimas e setores visados
Cerca de 65% das listagens no portal de vazamento concentram-se nos Estados Unidos, com foco em serviços jurídicos, manufatura, tecnologia, saúde e construção — setores onde a sensibilidade dos dados e a continuidade operacional elevam a disposição para pagar. Vítimas notáveis incluem NHS Scotland, Xerox e a Ordem dos Advogados do Texas.
O codebase do INC foi vendido em 2024, dando origem a famílias derivadas como Lynx e Sinobi, espalhando técnicas pelo ecossistema de ransomware — dinâmica semelhante à observada quando ferramentas de evasion como GentleKiller circulam entre grupos criminosos. A venda do código-fonte também reforça padrões de compartilhamento de infraestrutura entre threat actors.
Como se defender do INC
- Proteja credenciais do Veeam: monitore execuções do Veeam-Get-Creds.ps1 e aplique princípio do menor privilégio nas contas de serviço de backup.
- Restrinja impressoras de rede: segmente e monitore filas de impressão para detectar jobs não autorizados com instruções de resgate.
- Bloqueie ferramentas live-of-the-land: audite uso de PsExec, AnyDesk, ScreenConnect e rclone em endpoints corporativos.
- Priorize a correção de CVEs de acesso inicial: mantenha Citrix, Fortinet e SimpleHelp atualizados — vetores recorrentes do INC.
- Implemente EDR resiliente: o INC usa drivers vulneráveis e terminadores de processo; valide resposta a técnicas BYOVD.
- Teste restauração de backups imutáveis: garaja cópias offline ou em armazenamento imutável fora do alcance do ransomware.