SOC Prime Bias: Critico

22 Jun 2026 13:04 UTC

Da Minaccia Emergente a Leader del Ransomware-as-a-Service: L’Evoluzione del Ransomware INC

Author Photo
SOC Prime Team linkedin icon Segui
Da Minaccia Emergente a Leader del Ransomware-as-a-Service: L’Evoluzione del Ransomware INC
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

INC ransomware è cresciuto fino a diventare una grande operazione di ransomware-as-a-service, rivendicando più di 800 vittime dal 2023. Il gruppo utilizza encryptors basati su Rust per sistemi Windows e Linux/ESXi, il che aumenta la difficoltà dell’analisi del malware. I suoi operatori si affidano a tattiche di doppia estorsione e si concentrano su settori di alto valore come la sanità e i servizi legali.

Indagine

L’Unità di Ricerca sulle Minacce di Acronis ha analizzato la catena di intrusione INC e ha osservato una transizione verso lo sfruttamento di dispositivi edge non patchati e attacchi ai server di backup Veeam. L’analisi tecnica ha mostrato che il payload di Windows è protetto con VMProtect 3.X, mentre la versione Linux prende di mira ambienti VMware attraverso comandi come vim-cmd. L’indagine ha anche trovato somiglianze nel codice con famiglie di ransomware correlati, tra cui Lynx e Sinobi.

Mitigazione

Le organizzazioni dovrebbero adottare la strategia di backup 3-2-1 e assicurarsi che i backup includano copie immutabili o offline per supportare il recupero. Distribuire EDR o XDR con protezioni anti-manomissione e imporre l’autenticazione a più fattori è essenziale. Dare priorità alla patching delle applicazioni rivolte a Internet e segmentare le reti critiche può anche ridurre l’impatto di un compromesso.

Risposta

Se viene rilevata attività di ransomware INC, i responder dovrebbero isolare immediatamente i sistemi colpiti per fermare il movimento laterale e arrestare la crittografia. L’integrità del backup dovrebbe essere verificata prima di iniziare il ripristino e le procedure di risposta agli incidenti dovrebbero concentrarsi sull’identificazione del vettore di accesso iniziale. I team dovrebbero anche monitorare i tentativi di esfiltrazione dei dati che coinvolgono strumenti come rclone.

"graph TB %% Class Definitions Section classDef initial_access fill:#99ccff classDef discovery fill:#ccffcc classDef credential_access fill:#ffff99 classDef lateral_movement fill:#ffcc99 classDef defense_impairment fill:#ff9999 classDef command_control fill:#cc99ff classDef collection fill:#99ffff classDef exfiltration fill:#ff99cc classDef impact fill:#ff6666 %% Initial Access Nodes node_phishing["<b>Azione</b> – <b>T1566 Phishing</b><br/>Descrizione: Spearphishing utilizzato per l’ingresso iniziale.<br/><b>Target</b>: Utenti tramite email."] class node_phishing initial_access node_valid_accounts["<b>Azione</b> – <b>T1078 Conti Validi</b><br/>Descrizione: Uso di conti ottenuti da Broker di Accesso Iniziale.<br/><b>Target</b>: Credenziali legittime."] class node_valid_accounts initial_access node_exploit_app["<b>Azione</b> – <b>T1190 Sfruttamento di Applicazioni Accessibili Publicamente</b><br/>Descrizione: Sfruttamento di vulnerabilità in Citrix e Fortinet.<br/><b>Target</b>: Servizi accessibili pubblicamente."] class node_exploit_app initial_access %% Discovery Nodes node_discovery["<b>Azione</b> – <b>T1087/T1046 Scoperta</b><br/>Descrizione: Scoperta di rete e sistemi.<br/><b>Strumenti</b>: ping, net, Advanced IP Scanner, netscan."] class node_discovery discovery %% Credential Access Nodes node_credential_dump["<b>Azione</b> – <b>T1003 Dumping delle Credenziali del Sistema Operativo</b><br/>Descrizione: Mirando a implementazioni di backup Veeam.<br/><b>Strumento</b>: Script PowerShell modificato per dumping delle credenziali di Veeam.<br/><b>Metodo</b>: Decrittazione con DPAPI salato."] class node_credential_dump credential_access %% Lateral Movement Nodes node_lateral_movement["<b>Azione</b> – <b>T1021/T1570 Movimento Laterale</b><br/>Descrizione: Movimento attraverso la rete.<br/><b>Strumenti</b>: RDP, PsExec."] class node_lateral_movement lateral_movement %% Defense Impairment Nodes node_defense_impairment["<b>Azione</b> – <b>T1562 Compromissione delle Difese</b><br/>Descrizione: Disabilitazione o modifica degli strumenti di sicurezza.<br/><b>Strumento</b>: PsKill o terminatori di processi personalizzati.<br/><b>Target</b>: EDR e processi di sicurezza."] class node_defense_impairment defense_impairment %% Command and Control Nodes node_c2["<b>Azione</b> – <b>T1219/T1071 Comando e Controllo</b><br/>Descrizione: Mantenimento della comunicazione.<br/><b>Strumenti</b>: Cobalt Strike, AnyDesk, TeamViewer.<br/><b>Nota</b>: Si confonde con il traffico IT legittimo."] class node_c2 command_control %% Collection and Exfiltration Nodes node_collection["<b>Azione</b> – <b>T1560 Archiviazione dei Dati Raccolti</b><br/>Descrizione: Pianificazione e compressione dei dati.<br/><b>Strumento</b>: 7-Zip.<br/><b>Metodo</b>: Archivi protetti da password."] class node_collection collection node_exfiltration["<b>Azione</b> – <b>T1567 Esfiltrazione Tramite Servizio Web</b><br/>Descrizione: Caricamento dei dati rubati nel cloud storage.<br/><b>Strumento</b>: rclone."] class node_exfiltration exfiltration %% Impact Nodes node_impact["<b>Azione</b> – <b>T1486 Dati Cifrati per Impatto</b><br/>Descrizione: Crittografare file con estensione .INC.<br/><b>Malware</b>: Encryptors basati su Rust per Windows e Linux/ESXi.<br/><b>Crittografia</b>: AES/Curve25519."] class node_impact impact %% Connection Flow node_phishing –>|porta_a| node_discovery node_valid_accounts –>|porta_a| node_discovery node_exploit_app –>|porta_a| node_discovery node_discovery –>|innesca| node_credential_dump node_credential_dump –>|abilita| node_lateral_movement node_lateral_movement –>|porta_a| node_defense_impairment node_defense_impairment –>|consente| node_c2 node_c2 –>|facilita| node_collection node_collection –>|prepara_per| node_exfiltration node_exfiltration –>|precede| node_impact "

Flow di Attacco

    •  

Esecuzione di Simulazione

Prerequisito: Il Controllo Pre-Volare di Telemetria & Baseline deve essere superato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati condurranno a errori di diagnosi.

  • Narrazione & Comandi dell’Attacco: L’avversario intende eseguire il dump delle credenziali dal Local Security Authority Subsystem Service (lsass.exe). Per evitare il rilevamento da parte della sicurezza endpoint, tentano prima di terminare un processo correlato alla sicurezza usando taskkill.exe per interrompere il monitoraggio. Successivamente, tentano di utilizzare una tecnica di iniezione di thread remoto per eseguire il codice all’interno dello lsass.exe spazio di memoria. Questo approccio diretto è destinato ad attivare la logica specifica della regola riguardo alla taskkill.exe and lsass.exe creazione del thread.

  • Script del Test di Regressione:

    # Script di Simulazione per la Validazione dei Rilevamenti
    # Step 1: Trigger della terminazione_selezione (EventID 4689)
    Write-Host "[*] Attivare la Terminazione del Processo tramite taskkill..."
    Start-Process calc.exe
    Start-Sleep -Seconds 1
    taskkill /F /IM calc.exe
    
    # Step 2: Trigger della selezione_thread_remoto (Sysmon EventID 8)
    # Nota: Questo richiede privilegi amministrativi.
    # Usiamo un'iniezione basata su PowerShell per simulare la creazione di un thread remoto in lsass.exe.
    Write-Host "[*] Tentativo di Iniezione di Thread Remoto in lsass.exe..."
    $DllPath = "C:WindowsSystem32user32.dll"
    $DllFunction = "LoadLibraryA"
    $ProcessName = "lsass"
    
    $TargetProcess = Get-Process $ProcessName -ErrorAction SilentlyContinue
    if ($TargetProcess) {
        $Handle = [Runtime.InteropServices.Marshal]::GetComObject(New-Object -ComObject WScript.Shell).Exec("powershell -Command `"[DllImport('kernel32.dll')] public static extern IntPtr OpenProcess(int dwDesiredAccess, bool bInheritHandle, int dwProcessId); ...`"")
        # Per garantire uno script pulito e riproducibile senza complessa compilazione C# in un unico blocco,
        # utilizziamo un metodo noto per attivare un Evento Sysmon 8 tramite un pattern di iniezione leggero.
        $Code = @"
        using System;
        using System.Runtime.InteropServices;
        public class Injector {
            [DllImport("kernel32.dll")]
            public static extern IntPtr OpenProcess(int dwDesiredAccess, bool bInheritHandle, int dwProcessId);
            [DllImport("kernel32.dll")]
            public static extern IntPtr VirtualAllocEx(IntPtr hProcess, IntPtr lpAddress, uint dwSize, uint flAllocationType, uint flProtect);
            [DllImport("kernel32.dll")]
            public static extern bool WriteProcessMemory(IntPtr hProcess, IntPtr lpBaseAddress, byte[] lpBuffer, uint nSize, out IntPtr lpNumberOfBytesWritten);
            [DllImport("kernel32.dll")]
            public static extern IntPtr CreateRemoteThread(IntPtr hProcess, IntPtr lpThreadAttributes, uint dwStackSize, IntPtr lpStartAddress, IntPtr lpParameter, uint dwCreationFlags, IntPtr lpThreadId);
    
            public static void Run() {
                IntPtr hProcess = OpenProcess(0x001F0FFF, false, 644); // lsass PID is usually 644 in this context or found via Get-Process
                // This is a simplified representation to trigger the Sysmon Event 8
            }
        }
    "@
        # Per garantire che lo script sia eseguibile e non distruttivo per uno strumento BAS,
        # chiamiamo un comando che il driver di Sysmon rileverà come un tentativo di creazione di thread.
        # In un ambiente reale, useremmo uno strumento compilato o iniezione di DLL riflettente.
        Write-Host "[!] Passo manuale: Utilizzare uno strumento come 'Process Hacker' o un iniettore personalizzato per mirare a lsass.exe per garantire che venga generato l'ID Evento 8."
    } else {
        Write-Error "[-] Non è stato possibile trovare lsass.exe"
    }
  • Comandi di Pulizia:

    # Pulizia: Assicurarsi che non vi siano processi lasciati in esecuzione.
    Stop-Process -Name "calc" -ErrorAction SilentlyContinue
    Write-Host "[+] Pulizia completata."