INC ransomware : exfiltration via Restic (déguisé en winupdate.exe) et neutralisation des défenses observées par Huntress
Source: Huntress â Dans une analyse technique, Huntress SOC dĂ©crit des incidents survenus en fĂ©vrier 2026 mettant en lumiĂšre lâexfiltration de donnĂ©es avec Restic (renommĂ© en winupdate.exe), la dĂ©sactivation dâoutils de sĂ©curitĂ©, puis le dĂ©ploiement du ransomware INC. Le 25 fĂ©vrier 2026, aprĂšs un accĂšs initial la veille, le threat actor a mappĂ© un partage rĂ©seau (F:), utilisĂ© PsExec pour sâĂ©lever en privilĂšges, puis créé une tĂąche planifiĂ©e « Recovery Diagnostics » exĂ©cutant un script PowerShell. Des commandes PowerShell encodĂ©es en base64 ont dĂ©fini des variables dâenvironnement (AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY, RESTIC_REPOSITORY vers Wasabi S3, RESTIC_PASSWORD en clair « password ») avant dâappeler c:\windows\system32\winupdate.exe, qui est en rĂ©alitĂ© restic.exe renommĂ©. Une commande suivante a lancĂ© « backup âfiles-from C:\Users\Public\Documents\new.txt », suggĂ©rant lâutilisation dâune liste de fichiers, nĂ©cessitant vraisemblablement une connaissance prĂ©alable de lâenvironnement. ...