INC. Ransom rappresenta una nuova tipologia di operazioni di ransomware che vanno oltre la semplice cifratura dei dati per il guadagno finanziario. La sua metodologia calcolata, l’ampio campo di azione e l’approccio innovativo all’estorsione rivelano un livello di sofisticatezza con cui le organizzazioni devono confrontarsi nel sempre mutante panorama delle minacce informatiche.
Gli esperti di RecDati raccomandano misure proattive di sicurezza dei dati, come backup regolari, pratiche di sicurezza informatica robuste e mantenere il software aggiornato, per proteggersi dagli attacchi di malware. In caso di attacco informatico, è consigliato contattare immediatamente i nostri esperti di recupero malware.
Indice dei contenuti
ToggleCos’è INC. Ransom
INC. Ransom è un avversario formidabile sia per i servizi di sicurezza informatica che per i team IT. Emergendo sulla scena a luglio 2023 come un’operazione spietata di estorsione ransomware, la sua origine risale a un approccio calcolato, posizionandosi come un servizio per le vittime piuttosto che solo come un’entità malintenzionata.
Il modus operandi del ransomware INC. riflette una metodologia sofisticata ed adattabile. Mentre il pagamento del riscatto è un componente centrale, gli operatori intrecciano astutamente la nozione di protezione della reputazione per le vittime. Gli attori minacciosi indicano che il pagamento del riscatto garantirà la reputazione della vittima, evitando l’esposizione dei loro metodi.
Il gruppo minaccioso mostra una mancanza di discriminazione nella scelta dei bersagli, con vittime che spaziano in varie industrie, tra cui sanità, istruzione ed entità governative.
Il metodo di cifratura utilizzato da INC. Ransom è meticoloso e strategico. Il ransomware supporta vari argomenti della riga di comando, consentendo agli attori minacciosi flessibilità nel mirare a file specifici, directory o addirittura condivisioni di rete.
Tutto ciò che sappiamo su INC. Ransom
Nome confermato:
- INC virus
- Decryptor INC. Ransom
Tipo di minaccia:
- Ransomware
- Crypto virus
- Blocco file
- Data leak
Estensione file cifrato:
- .INC
Nome file ransom note:
- INC-README.txt
- INC-README.html
- Sfondo desktop
Nomi di rilevamento:
- Avast Win32:RansomX-gen [Ransom]
- Emsisoft Gen:Heur.Ransom.Imps.1 (B)
- Kaspersky Trojan-Ransom.Win32.Inc.a
- Malwarebytes Ransom.IncRansom
- Microsoft Ransom:Win32/IncRansom.YAA!MTB
- Sophos Troj/Ransom-GYR
Metodi di distribuzione:
- Phishing emails
- Annunci maligni (Malvertising)
- Kit di exploit
- Protocollo Desktop Remoto (RDP)
Metodi di infezione ed esecuzione di INC. Ransom
Il gruppo minaccioso INC. Ransom è un nuovo gruppo di ransomware che si differenzia per metodologia e tecniche dalla maggior parte dei ransomware. Ecco i passaggi che vanno dall’accesso iniziale alla cifratura e alla comunicazione con le vittime.
1. Accesso iniziale: INC. Ransom utilizza diversi metodi per ottenere l’accesso iniziale alle sue vittime. Tra questi, le email di spear-phishing servono come vettore comune, sfruttando le vulnerabilità umane per indurre le persone a fare clic su link malevoli o scaricare allegati infetti.
Inoltre, si sono osservati casi di sfruttamento di vulnerabilità, come l’utilizzo di CVE-2023-3519 in Citrix NetScaler, dimostrando un approccio tecnico all’accesso iniziale.
2. Ricognizione interna e spostamento laterale: Una volta all’interno dell’ambiente della vittima, INC. Ransom inizia un meticoloso processo di ricognizione interna e spostamento laterale.
Gli attori minacciosi utilizzano un toolkit diversificato che consente loro di navigare nella rete della vittima, identificando bersagli preziosi per la cifratura.
Gli strumenti sono utilizzati in applicazioni come:
- NETSCAN.EXE: Uno scanner e profiler di rete multi-protocollo.
- MEGAsyncSetup64.EXE: Applicazione desktop associata a MEGA, un servizio di archiviazione cloud e condivisione di file.
- ESENTUTL.EXE: Utility Microsoft per la gestione e il ripristino del database.
- AnyDesk.exe: Applicazione di gestione remota e desktop remoto.
3. Distribuzione del Payload e Cifratura: I payloads sono componenti o software malevoli che eseguono azioni specifiche, come l’accesso non autorizzato, la cifratura dei dati o la manipolazione del sistema, sul computer o sulla rete della vittima.
I payloads di INC. Ransom supportano vari argomenti della riga di comando, offrendo un approccio flessibile al mirare a file e directory specifiche.
4. Eliminazione delle Copie di Shadow del Volume: Per consolidare ulteriormente la presa sui dati della vittima, INC. Ransom tenta di eliminare le Copie di Shadow del Volume (VSS). Sebbene non sempre riproducibile, questo comportamento indica il tentativo del ransomware di eliminare possibili vie per il recupero dei dati, aumentando la pressione sulla vittima per soddisfare le richieste di riscatto.
5. Deposizione della Nota di Riscatto: Dopo aver cifrato i file, il ransomware INC. lascia un segno distintivo depositando note di riscatto in ogni cartella cifrata. Queste note, nei formati .TXT e .HTML (“INC-README.TXT” e “INC-README.HTML”), contengono istruzioni per la vittima.
Indicatori di Compromissione (IOCs) di INC. Ransom
Gli Indicatori di Compromissione (IOCs) sono artefatti osservati su una rete o in un sistema operativo che indicano una violazione informatica con elevata sicurezza. Gli IOCs possono essere utilizzati per la rilevazione precoce di futuri tentativi di attacco utilizzando sistemi di rilevamento delle intrusioni e software antivirus.
Gli IOCs specifici di INC. Ransom includono:
- Hash del file (Binario del ransomware):
- SHA256: fcefe50ed02c8d315272a94f860451bfd3d86fa6ffac215e69dfa26a7a5deced
- Nomi dei file di nota di riscatto:
- INC-README.TXT
- INC-README.HTML
- Uscita della nota di riscatto stampata:
- INC. ransomware può stampare note di riscatto su stampanti o fax collegati ed accessibili. Ogni lavoro di stampa inaspettato o non autorizzato dovrebbe essere investigato.
Nota di Riscatto di INC. Ransom
La nota di riscatto di INC. Ransom è un componente cruciale nell’operazione di estorsione del ransomware, trasmettendo le richieste e le istruzioni degli attori minacciosi alla vittima.
La nota suggerisce che pagare il riscatto non è solo un modo per recuperare i dati cifrati, ma è posizionato come un metodo per “salvare la propria reputazione”. Paradossalmente, gli aggressori affermano che aderendo alle richieste di riscatto, l’ambiente della vittima diventerebbe “più sicuro” grazie alla divulgazione dei loro metodi.
Le vittime vengono assegnate a ciascuna nota di riscatto un ID personale, che devono utilizzare al momento della visita al portale di pagamento basato su TOR per la comunicazione con gli aggressori.
Testo della Nota di Riscatto di INC. Ransom:
lessCopy code
Inc. Ransomware Abbiamo hackerato voi e scaricato tutti i dati confidenziali della vostra azienda e dei suoi clienti. Possono essere diffusi tra persone e media. La vostra reputazione sarà rovinata. Non esitate e salvate la vostra attività. Per favore, contattateci tramite: - Il vostro ID personale: - Siamo quelli che possono recuperare rapidamente i vostri sistemi senza perdite. Non cercate di svalutare il nostro strumento - non ne verrà fuori nulla. Da ora avete 72 ore per contattarci se non volete che i vostri dati sensibili vengano pubblicati sul nostro blog: - Dovreste essere informati, nella nostra attività la reputazione è una condizione basilare per il successo. Inc offre un accordo. Dopo trattative di successo vi sarà fornito: 1. Assistenza alla decrittazione; 2. Accesso iniziale; 3. Come proteggere la vostra rete; 4. Prove della cancellazione di documenti interni; 5. Garanzie di non attaccarvi in futuro.
Come Gestire un Attacco di INC. Ransom
Il primo passo per riprendersi da un attacco ransomware di INC. è isolare il computer infetto scollegandolo da Internet e rimuovendo ogni dispositivo collegato. Successivamente, è necessario contattare le autorità locali o, nel caso di residenti e aziende negli Stati Uniti, l’FBI e l’Internet Crime Complaint Centre (IC3).
Per segnalare un attacco di malware, è necessario raccogliere tutte le informazioni possibili, inclusi:
- Screenshots della nota di riscatto
- Comunicazioni con gli attori minacciosi (se disponibili)
- Un esempio di file cifrato
Tuttavia, se si preferisce contattare professionisti, è meglio lasciare ogni macchina infetta com’è e chiedere un servizio di rimozione ransomware d’emergenza. Questi professionisti sono attrezzati per mitigare rapidamente i danni, raccogliere prove, potenzialmente invertire la cifratura e ripristinare il sistema.
Il riavvio o lo spegnimento del sistema potrebbe compromettere il servizio di recupero. La cattura della RAM di un sistema in esecuzione può aiutare ad ottenere la chiave di cifratura, e catturare un file dropper, ovvero il file che esegue il payload dannoso, potrebbe essere analizzato al contrario e portare alla decrittazione dei dati o alla comprensione di come opera.
Non è consigliato eliminare il ransomware e conservare ogni evidenza dell’attacco. Questo è importante per gli esperti di informatica forense per risalire al gruppo di hacker e identificarli. L’indagine di un attacco informatico non è diversa da qualsiasi altra indagine criminale: ha bisogno di prove per trovare gli attaccanti.
1. Contattare il proprio fornitore di risposta agli incidenti: La risposta agli incidenti informatici è il processo di risposta e gestione di un incidente di sicurezza informatica. Un contratto di risposta agli incidenti è un accordo di servizio con un provider di sicurezza informatica che consente alle organizzazioni di ottenere assistenza esterna in caso di incidenti di sicurezza informatica. Fornisce alle organizzazioni una forma strutturata di competenza e supporto attraverso un partner di sicurezza, consentendo loro di rispondere rapidamente ed efficacemente durante un incidente informatico.
Un contratto di risposta agli incidenti offre tranquillità alle organizzazioni, offrendo supporto esperto prima e dopo un incidente di sicurezza informatica. La natura e la struttura specifiche di un contratto di risposta agli incidenti varieranno in base al provider e alle esigenze dell’organizzazione. Un buon contratto di risposta agli incidenti dovrebbe essere robusto ma flessibile, offrendo servizi comprovati per migliorare la postura di sicurezza a lungo termine dell’organizzazione.
Se si contatta il proprio fornitore di risposta agli incidenti, possono intervenire immediatamente e guidare attraverso ogni passo nel recupero del ransomware. Tuttavia, se si decide di rimuovere il malware da soli e ripristinare i file con il proprio team IT, è possibile seguire i passaggi successivi.
2. Usare un backup per ripristinare i dati: L’importanza del backup per il recupero dei dati non può essere sottovalutata, specialmente nel contesto di vari rischi e minacce potenziali all’integrità dei dati.
I backup sono un componente critico di una strategia completa di protezione dei dati. Forniscono un mezzo per recuperare da una varietà di minacce, garantendo la continuità delle operazioni e la conservazione delle informazioni preziose. Di fronte agli attacchi ransomware, dove il software malevolo cifra i dati e richiede un pagamento per il loro rilascio, avere un backup consente di ripristinare le informazioni senza cedere alle richieste dell’attaccante.
Assicurarsi di testare regolarmente e aggiornare le procedure di backup per migliorarne l’efficacia nella salvaguardia contro potenziali scenari di perdita di dati. Esistono diversi modi per effettuare un backup, quindi è necessario scegliere il mezzo di backup giusto e avere almeno una copia dei dati memorizzata in un luogo esterno e offline.
3. Contattare un servizio di recupero malware: Se non si dispone di un backup o si ha bisogno di aiuto per rimuovere il malware ed eliminare le vulnerabilità, è possibile contattare un servizio di recupero dati. Pagare il riscatto non garantisce che i dati verranno restituiti. L’unico modo garantito per ripristinare ogni file è avere un backup. Se non ne si dispone, i servizi di recupero dati ransomware possono aiutare a decifrare e recuperare i file.
Gli esperti di RecDati possono ripristinare in modo sicuro i file e impedire a INC. Ransom di attaccare nuovamente la rete. Contattate i nostri esperti di recupero 24/7.
Come Prevenire l’Attacco di INC. Ransom
Prevenire i malware è la soluzione migliore per la sicurezza dei dati ed è più facile e conveniente che recuperare da essi. INC. Ransomware può compromettere il futuro della vostra azienda e persino chiudere le porte.
Ecco alcuni suggerimenti per evitare attacchi malware:
- Mantenete il vostro sistema operativo e il software aggiornati con gli ultimi patch e aggiornamenti di sicurezza. Ciò può aiutare a prevenire vulnerabilità che possono essere sfruttate dagli attaccanti.
- Utilizzate password robuste e uniche per tutti gli account e attivate l’autenticazione a due fattori quando possibile. Ciò può impedire agli attaccanti di accedere ai vostri account.
- Fate attenzione alle email, link e allegati sospetti. Non aprite email o cliccate su link o allegati da fonti sconosciute o sospette.
- Utilizzate software antivirus e anti-malware affidabili e teneteli aggiornati. Ciò può aiutare a rilevare e rimuovere il malware prima che possa causare danni.
- Utilizzate un firewall per bloccare l’accesso non autorizzato alla vostra rete e ai sistemi.
- Suddivisione della rete per dividere una rete più grande in sotto-reti più piccole con limitata interconnessione tra di esse. Limita il movimento laterale dell’attaccante e impedisce agli utenti non autorizzati di accedere alla proprietà intellettuale e ai dati dell’organizzazione.
- Limitate i privilegi degli utenti per impedire agli attaccanti di accedere a dati e sistemi sensibili.
- Formate i dipendenti e il personale su come riconoscere ed evitare email di phishing e altri attacchi di ingegneria sociale.