INC ransomware : exfiltration via Restic (déguisé en winupdate.exe) et neutralisation des défenses observées par Huntress
Source: Huntress — Dans une analyse technique, Huntress SOC décrit des incidents survenus en février 2026 mettant en lumière l’exfiltration de données avec Restic (renommé en winupdate.exe), la désactivation d’outils de sécurité, puis le déploiement du ransomware INC. Le 25 février 2026, après un accès initial la veille, le threat actor a mappé un partage réseau (F:), utilisé PsExec pour s’élever en privilèges, puis créé une tâche planifiée « Recovery Diagnostics » exécutant un script PowerShell. Des commandes PowerShell encodées en base64 ont défini des variables d’environnement (AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY, RESTIC_REPOSITORY vers Wasabi S3, RESTIC_PASSWORD en clair « password ») avant d’appeler c:\windows\system32\winupdate.exe, qui est en réalité restic.exe renommé. Une commande suivante a lancé « backup –files-from C:\Users\Public\Documents\new.txt », suggérant l’utilisation d’une liste de fichiers, nécessitant vraisemblablement une connaissance préalable de l’environnement. ...