🔍 Contexte
Publié le 17 juin 2026 par l’Acronis Threat Research Unit (TRU), ce rapport constitue une analyse technique et stratégique approfondie du groupe INC Ransomware, opération RaaS découverte mi-2023 et désormais classée parmi les cinq groupes ransomware les plus actifs mondialement en 2026.
📈 Évolution et historique
INC Ransomware a émergé en 2023 comme une opération semi-privée basée sur un modèle d’affiliation. Le groupe a rapidement développé des variantes Windows et Linux/ESXi, ciblant notamment les hyperviseurs VMware. En 2024, le code source (Windows + Linux/ESXi) a été mis en vente sur des forums underground par un utilisateur nommé “salfetka” (lié aux alias “rinc” et “farnetwork”, associé aux opérations Nokoyawa, JSWORM, Nefilim, Karma et Nemty) pour 300 000 USD (limité à trois acheteurs). Cette vente a conduit à l’émergence des familles Lynx et Sinobi avec un chevauchement de code significatif.
La disruption de LockBit et la fermeture de BlackCat ont favorisé la migration d’affiliés vers INC. Le groupe Vice Society a également été observé déployant INC contre le secteur santé fin 2024.
🎯 Victimologie
- +800 victimes depuis 2023
- 65,3% des victimes sont des organisations américaines
- Autres pays ciblés : Australie, Canada, Allemagne, Taïwan
- Absence totale de victimes CIS, suggérant des opérateurs basés dans cette région
- Top 5 secteurs 2026 : services juridiques, manufacturing, technologie, santé, construction
- Victimes notables : NHS Scotland, Xerox, Texas State Bar
⚙️ Chaîne d’attaque
Accès initial :
- Spear phishing
- Credentials via Initial Access Brokers (IAB)
- Exploitation de vulnérabilités : CVE-2023-3519 (Citrix Netscaler), CVE-2023-48788 (Fortinet EMS), CVE-2024-57727 (SimpleHelp RMM), CVE-2025-5777 (Citrix Bleed 2)
Découverte : Angry IP Scanner, Advanced IP Scanner, netscan, commandes ping/net via cmd.exe
Accès aux credentials : Script PowerShell encodé en base64 — dumper de credentials Veeam modifié (basé sur Veeam-Get-Creds.ps1), avec support du chiffrement DPAPI salé des nouvelles versions Veeam
Mouvement latéral : RDP, PsExec (LOLBins)
Contournement des défenses : PsKill (Sysinternals), outil custom “ProcessTerminator” déposant des drivers vulnérables (filwfp.sys, filnk.sys, fildds.sys)
C2 : Cobalt Strike, AnyDesk, ScreenConnect, TeamViewer
Exfiltration : 7-Zip (compression + protection par mot de passe) + rclone vers stockage cloud contrôlé par l’attaquant
Impact : Chiffrement multithreadé (nb_processeurs × 4 threads), chiffrement partiel par paliers selon taille de fichier, suppression des shadow copies, impression réseau des notes de rançon
🔬 Analyse technique
Windows : PE64, compilé en Rust, protégé par VMProtect 3.x (certains échantillons), chiffrement hybride Salsa20/AES + Curve25519 ECC, génération de clés via BCryptGenRandom, extension .INC ajoutée aux fichiers chiffrés.
Linux/ESXi : ELF64, compilé en Rust (sous GCC), chiffrement AES-128-CTR + X25519 ECDH, arrêt des VMs via vim-cmd /vmsvc/power.off, modification du fichier /etc/motd avec la note de rançon, extension .INC ajoutée.
📄 Type d’article
Rapport de recherche technique et stratégique publié par Acronis TRU, visant à documenter l’évolution complète d’INC Ransomware, fournir des TTPs détaillées, des IOCs, des règles YARA et des recommandations de détection.
🧠 TTPs et IOCs détectés
Acteurs de menace
- INC Ransomware (cybercriminal) —
- Vice Society (cybercriminal) — orkl.eu · Malpedia
- Lynx (cybercriminal) —
- Sinobi (cybercriminal) — orkl.eu · Malpedia
- LockBit (cybercriminal) — MITRE ATT&CK
- BlackCat (cybercriminal) — MITRE ATT&CK
TTP
- T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
- T1078 — Valid Accounts (Initial Access)
- T1190 — Exploit Public-Facing Application (Initial Access)
- T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
- T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
- T1057 — Process Discovery (Discovery)
- T1046 — Network Service Discovery (Discovery)
- T1135 — Network Share Discovery (Discovery)
- T1555 — Credentials from Password Stores (Credential Access)
- T1003 — OS Credential Dumping (Credential Access)
- T1021.001 — Remote Services: Remote Desktop Protocol (Lateral Movement)
- T1570 — Lateral Tool Transfer (Lateral Movement)
- T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
- T1014 — Rootkit (Defense Evasion)
- T1027 — Obfuscated Files or Information (Defense Evasion)
- T1219 — Remote Access Software (Command and Control)
- T1071 — Application Layer Protocol (Command and Control)
- T1560.001 — Archive Collected Data: Archive via Utility (Collection)
- T1537 — Transfer Data to Cloud Account (Exfiltration)
- T1486 — Data Encrypted for Impact (Impact)
- T1490 — Inhibit System Recovery (Impact)
- T1491.001 — Defacement: Internal Defacement (Impact)
IOC
- Domaines :
incblog.su— VT · URLhaus · ThreatFox - SHA256 :
31800380c359143ae82c4f9011eee653dd22443d03d6a499148203bbfc275502— VT · MalwareBazaar - SHA256 :
ea721240c14e3d14f8d88e0020880448c6c602f1180a1e5dbe40871cfeedcc22— VT · MalwareBazaar - SHA256 :
8d1a22c430252f29611766b8e4a82af0fba60d609246463466b384d6d4793df4— VT · MalwareBazaar - SHA256 :
bf8c45e5aa9551a17eefbd1d179422c32b4309c47ee9a3f315bb80ed6d4f7efc— VT · MalwareBazaar - SHA256 :
6bf155b269d452f3c3b62832b27bbebe4da436e228dbf521155b1d5989e3743f— VT · MalwareBazaar - SHA256 :
1898d056463284d849801cbdea6a3dec6c9f568f01569912c3868a5eea9a5449— VT · MalwareBazaar - SHA256 :
24f6c0ca39b2a5593086ff56d818ddfbde121f8e44d54faa762e510397dc9db7— VT · MalwareBazaar - SHA256 :
dc9938f51150d13a69fc25f3f19052eacb1bf0a086fd5cf39762501fb3ddd7da— VT · MalwareBazaar - SHA256 :
acce811c4fc2a6e3fddd4231e386f1648ca44f039d2d275316bc0a0fc96e0af4— VT · MalwareBazaar - SHA256 :
90e46e89fec2108a1cb4850bb33e3563e92a14d04e1e613ac8c9311f152d294c— VT · MalwareBazaar - SHA256 :
ff5da8f0330a4c581c37284c74aae2683c007dc6e406e1e2e6803e7bb398b77b— VT · MalwareBazaar - SHA256 :
97aebda5482899fef84a24e456bff055acaa47e5ab4029f768d9e0c62a660ce2— VT · MalwareBazaar - SHA256 :
1d10d8f5a420d0e4683b4cb40bcf0c984d1e7ea1f3b4442a00a525584632ac11— VT · MalwareBazaar - SHA256 :
f6a01d0246ce31faf6938ea488086d4358505405a4ef5c5faa482e79e92cb347— VT · MalwareBazaar - SHA256 :
d65120291dee76c694f8bea54841f7f68329b499b28f4aee5ea5c9369a7432cb— VT · MalwareBazaar - SHA256 :
765508aa2ec6a1b73a76a23f4fa559d32355622748c91a46ed7b315eae2ee60a— VT · MalwareBazaar - SHA256 :
d26bfb0147f60dc6500a9298d521ee67b49daaf4b8f8be54e7cc8fd86a597570— VT · MalwareBazaar - SHA256 :
589d9480fbfec2d8e61638eb0b537183d0f9977411fd1d2c0f8eb611feebe880— VT · MalwareBazaar - SHA256 :
7f37351979c249417cb180b4ede0ed17e5fe2a1f08add4d72606b589f8fdb245— VT · MalwareBazaar - SHA256 :
5cc212f84d2bf3fbab165aaf09b16e00fcf2f1ccd880d24b14404c53dcdbf241— VT · MalwareBazaar - SHA256 :
60aeb9f7bccf377ff02ed64783e66a62c0f976878d9729b067bc7e5b0b9da9d6— VT · MalwareBazaar - SHA256 :
6cd349eda0fa6c8b274a0920852c68f8b727afea1fdbc69ad183cef05d9cf141— VT · MalwareBazaar - CVEs :
CVE-2023-3519— NVD · CIRCL - CVEs :
CVE-2023-48788— NVD · CIRCL - CVEs :
CVE-2024-57727— NVD · CIRCL - CVEs :
CVE-2025-5777— NVD · CIRCL - Fichiers :
INC-README.txt - Fichiers :
filwfp.sys - Fichiers :
filnk.sys - Fichiers :
fildds.sys - Fichiers :
ProcessTerminator.exe - Fichiers :
netscan.exe - Chemins :
C:\Program Files\Angry IP Scanner\ipscan.exe - Chemins :
C:\ProgramData\VMware\libsm2\netscan.exe - Chemins :
/etc/motd
Malware / Outils
- INC Ransomware (ransomware)
- Lynx (ransomware)
- Sinobi (ransomware)
- Cobalt Strike (framework)
- AnyDesk (tool)
- ScreenConnect (tool)
- TeamViewer (tool)
- PsExec (tool)
- PsKill (tool)
- rclone (tool)
- 7-Zip (tool)
- ProcessTerminator (tool)
- Veeam-Get-Creds.ps1 (tool)
- Angry IP Scanner (tool)
- Advanced IP Scanner (tool)
🟢 Indice de vérification factuelle : 95/100 (haute)
- ✅ acronis.com — source reconnue (Rösti community) (20pts)
- ✅ 36888 chars — texte complet (fulltext extrait) (15pts)
- ✅ 36 IOCs dont des hashes (15pts)
- ✅ 4/4 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
- ✅ 22 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ✅ acteur(s) identifié(s) : INC Ransomware, Vice Society, Lynx (5pts)
- ⬜ 0/4 CVE(s) confirmée(s) (0pts)
IOCs confirmés externellement :
31800380c359143a…(sha256) → VT (54/75 détections)ea721240c14e3d14…(sha256) → VT (49/75 détections)8d1a22c430252f29…(sha256) → VT (49/75 détections)incblog.su(domain) → VT (18/91 détections)
🔗 Source originale : https://www.acronis.com/en/tru/posts/from-emerging-threat-to-top-tier-ransomware-as-a-service-the-evolution-of-inc-ransomware/