Source: Huntress — Dans une analyse technique, Huntress SOC décrit des incidents survenus en février 2026 mettant en lumière l’exfiltration de données avec Restic (renommé en winupdate.exe), la désactivation d’outils de sécurité, puis le déploiement du ransomware INC.

Le 25 février 2026, après un accès initial la veille, le threat actor a mappé un partage réseau (F:), utilisé PsExec pour s’élever en privilèges, puis créé une tâche planifiée « Recovery Diagnostics » exécutant un script PowerShell. Des commandes PowerShell encodées en base64 ont défini des variables d’environnement (AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY, RESTIC_REPOSITORY vers Wasabi S3, RESTIC_PASSWORD en clair « password ») avant d’appeler c:\windows\system32\winupdate.exe, qui est en réalité restic.exe renommé. Une commande suivante a lancé « backup –files-from C:\Users\Public\Documents\new.txt », suggérant l’utilisation d’une liste de fichiers, nécessitant vraisemblablement une connaissance préalable de l’environnement.

Le 25 février, l’assaillant a exécuté C:\123\edr.exe, puis utilisé l’outil VIPRE Business AgentAgentUninstallPassword.exe pour désinstaller l’agent de sécurité (journaux SecurityCenter/15 et événements MsiInstaller/System Restore à l’appui). Windows Defender a ensuite été désactivé (événements Microsoft-Windows-Windows Defender/5001 et SecurityCenter/15 « SNOOZED »). Le binaire INC ransomware a été lancé via c:\perflogs\win.exe –sup –hide –mode medium, générant des notes INC-README.txt et une série d’événements RestartManager/10000, typiques de ransomwares utilisant l’API RestartManager pour chiffrer des fichiers verrouillés. L’accès initial n’a pas été déterminé en raison d’un déploiement partiel de l’agent Huntress et de l’absence de SIEM.

Un incident antérieur, le 9 février, a présenté un mode opératoire quasi identique : variables AWS et Restic vers Wasabi S3, même couple AWS_ACCESS_KEY_ID/SECRET_ACCESS_KEY, commande « backup –files-from …\new.txt ». Dans ce cas, l’outil HRSword a servi à désactiver les services Acronis Management Agent Core Service et Acronis Active Protection Service; l’intervention a empêché la suite potentielle (dont un déploiement ransomware).

Huntress note par ailleurs que la préparation de données est souvent faite via WinZip, 7Zip ou tar.exe, et que l’exfiltration peut passer par finger.exe, ainsi que des utilitaires de sauvegarde comme Restic, BackBlaze et s5cmd. Des commandes PowerShell encodées en base64 apparaissent en Event ID 600 (journal PowerShell), un motif que l’on peut aussi observer avec des outils légitimes. Une activité très similaire a été documentée publiquement par Cyber Centaurs le 22 janvier 2026. 🧩

IOC et TTP

  • IOCs:
    • SHA256: 1d15b57db62c079fc6274f8ea02ce7ec3d6b158834b142f5345db14f16134f0d (C:\123\edr.exe)
    • SHA256: e034a4c00f168134900bfe235ff2f78daf8bfcfa8b594cd2dd563d43f5de1b13 (c:\perflogs\win.exe)
  • TTPs observés/rapportés:
    • Élévation de privilèges: PsExec
    • Persistance/Exécution programmée: création de tâche planifiée via schtasks.exe
    • Exécution/Obfuscation: commandes PowerShell base64 (Event ID 600)
    • Exfiltration: Restic vers Wasabi S3 (restic.exe renommé en winupdate.exe), « –files-from new.txt »; observations globales incluant finger.exe, BackBlaze, s5cmd
    • Mouvement/Préparation: mappage d’un partage réseau (F:)
    • Évasion défensive: désinstallation de VIPRE Business Agent, désactivation de Windows Defender (Real-Time Protection), utilisation de HRSword contre Acronis
    • Impact: déploiement de INC ransomware, utilisation de l’API RestartManager (Event ID 10000), création de INC-README.txt

Type d’article: analyse technique et retour d’expérience visant à exposer les TTPs et IOCs liés à ces intrusions et au déploiement d’INC ransomware.

🧠 TTPs et IOCs détectés

TTP

[‘Élévation de privilèges: PsExec’, ‘Persistance/Exécution programmée: création de tâche planifiée via schtasks.exe’, ‘Exécution/Obfuscation: commandes PowerShell base64 (Event ID 600)’, ‘Exfiltration: Restic vers Wasabi S3 (restic.exe renommé en winupdate.exe), –files-from new.txt’, ‘Mouvement/Préparation: mappage d’un partage réseau (F:\)’, ‘Évasion défensive: désinstallation de VIPRE Business Agent, désactivation de Windows Defender (Real-Time Protection), utilisation de HRSword contre Acronis’, ‘Impact: déploiement de INC ransomware, utilisation de l’API RestartManager (Event ID 10000), création de INC-README.txt’]

IOC

[‘SHA256: 1d15b57db62c079fc6274f8ea02ce7ec3d6b158834b142f5345db14f16134f0d (C:\123\edr.exe)’, ‘SHA256: e034a4c00f168134900bfe235ff2f78daf8bfcfa8b594cd2dd563d43f5de1b13 (c:\perflogs\win.exe)’]

🔗 Source originale : https://www.huntress.com/blog/data-exfiltration-threat-actor-infrastructure-exposed