Alerte conjointe ACSC/CERT Tonga/NCSC : le RaaS INC Ransom cible l’Australie, la Nouvelle‑Zélande et le Pacifique, avec un focus sur la santé

Source et contexte : Alerte conjointe publiée par l’Australian Cyber Security Centre (ACSC), le CERT Tonga et le National Cyber Security Centre (NCSC) de Nouvelle‑Zélande, décrivant l’activité du groupe de ransomware INC Ransom et de ses affiliés, leurs cibles en Australie, Nouvelle‑Zélande et États insulaires du Pacifique, et les mesures de mitigation recommandées.

INC Ransom, aussi connu sous les noms Tarnished Scorpion et GOLD IONIC, opère en modèle Ransomware‑as‑a‑Service (RaaS) depuis mi‑2023. Les affiliés procèdent à de la double extorsion (vol de données + chiffrement, menace de divulgation via un Data Leak Site sur Tor). Après avoir visé les États‑Unis et le Royaume‑Uni, le groupe se concentre davantage depuis début 2025 sur l’Australie, la Nouvelle‑Zélande et les États insulaires du Pacifique, avec une tendance marquée vers les fournisseurs de santé 🏥.

Impacts sectoriels et incidents notables :

• Australie (01/07/2024–31/12/2025) : 11 incidents traités par l’ACSC, principalement dans les services professionnels et la santé. Accès initial via comptes compromis, élévation de privilèges par création de comptes admin, mouvement latéral, déploiement de fichiers malveillants nommés « win.exe », exfiltration de PII et données médicales, et notes de rançon pointant vers le DLS Tor d’INC Ransom.
• Royaume de Tonga : le 15/06/2025, le Ministère de la Santé (MoH) a subi une attaque rendant des services inaccessibles et perturbant le réseau national de santé. Une note INC Ransom a été retrouvée, et la revendication publiée le 26/06/2025 sur leur DLS. L’infrastructure d’exfiltration était contrôlée par le cybercriminel Roman Khubov (alias « blackod »).
• Nouvelle‑Zélande : en mai 2025, une organisation de santé a vu de nombreux serveurs et endpoints chiffrés et un volume important de données volé ; INC Ransom a revendiqué et publié l’ensemble sur son DLS.

Tactiques et techniques observées : Les affiliés obtiennent l’accès initial via spear‑phishing, exploitation de vulnérabilités sur des équipements exposés et/ou identifiants valides (souvent acquis auprès d’Initial Access Brokers). Ils utilisent des outils légitimes pour la compression (7‑Zip, WinRAR) et l’exfiltration (rclone), ainsi que des outils d’accès distant et de transfert de fichiers (NetScan, FileZilla). Après chiffrement, une note de rançon est laissée, et en l’absence de paiement, les données sont publiées sur le DLS. Les TTPs recoupent celles de Lynx ransomware et d’anciennes opérations RaaS (Nemty, Nemty X, Karma, Nokoyawa). 🌐

Mesures recommandées (extrait) :

• Préserver des sauvegardes régulières et testées, isolées contre accès/modification/suppression non autorisés.
• Restreindre les flux réseau (inbound/outbound) et durcir l’accès distant (VPN) avec MFA résistante au phishing.
• Limiter les outils de gestion à distance (TeamViewer, AnyDesk) aux seuls administrateurs, et contrôler les droits privilégiés (least privilege, comptes dédiés, désactivation de comptes intégrés/locaux si possible).
• Gérer activement les vulnérabilités (priorité aux services exposés/connus exploités) et améliorer la détection (journaux centralisés et protégés, EDR/XDR, chasse aux IoC, surveillance réseau et accès distants anormaux).

IOCs et TTPs extraits :

• Indicateurs/artefacts observés (IOCs/artefacts) :
  • Fichier malveillant observé : « win.exe ».
  • Notes de rançon contenant un lien vers le DLS sur Tor d’INC Ransom.
  • Outils/outils légitimes employés : 7‑Zip, WinRAR, rclone, NetScan, FileZilla.
  • Acteur lié à l’infrastructure d’exfiltration (incident Tonga) : Roman Khubov (« blackod »).
• TTPs (MITRE ATT&CK) :
  • Accès initial : T1190 (Exploit Public‑Facing Application), T1133 (External Remote Services, sans MFA), T1078 (Valid Accounts).
  • Exécution : T1648 (Serverless Execution/DB comme médium d’exécution).
  • Persistance : T1136 (Create Account), T1133 (External Remote Services), T1078 (Valid Accounts).
  • Élévation de privilèges : T1068 (Exploitation for Privilege Escalation, BYOVD), T1078, T1098 (Account Manipulation).
  • Évasion : T1562 (Impair Defenses), T1036 (Masquerading), T1078.
  • Accès aux identifiants : T1110 (Brute Force), T1003 (OS Credential Dumping).
  • Découverte : T1083 (File and Directory Discovery), T1046 (Network Service Discovery), T1135 (Network Share Discovery), T1057 (Process Discovery), T1018 (Remote System Discovery).
  • Mouvement latéral : T1210 (Exploitation of Remote Services), T1570 (Lateral Tool Transfer), T1021 (Remote Services).
  • Collection : T1075 (Data Staged), T1560 (Archive Collected Data), T1119 (Automated Collection), T1213 (Data from Information Repositories), T1005 (Data from Local System).
  • Commandement & contrôle : T1105 (Ingress Tool Transfer), T1219 (Remote Access Tools).
  • Exfiltration : T1567 (Exfiltration over Web Services).
  • Impact : T1486 (Data Encrypted for Impact), T1491 (Defacement via notes de rançon).

Type d’article : analyse de menace et alerte conjointe visant à informer sur l’activité d’INC Ransom et à proposer des mesures de mitigation.

🧠 TTPs et IOCs détectés

TTP

T1190, T1133, T1078, T1648, T1136, T1068, T1098, T1562, T1036, T1110, T1003, T1083, T1046, T1135, T1057, T1018, T1210, T1570, T1021, T1075, T1560, T1119, T1213, T1005, T1105, T1219, T1567, T1486, T1491

IOC

Fichier malveillant : win.exe, Notes de rançon avec lien vers le DLS sur Tor, Outils : 7-Zip, WinRAR, rclone, NetScan, FileZilla, Acteur : Roman Khubov (alias blackod)

---

🔗 Source originale : https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/inc-ransom-affiliate-model-enabling-targeting-of-critical-networks