Nach Angaben von Santiago Pontiroli, Leiter der Threat-Intelligence-Forschung bei Acronis, beruht das Wachstum von INC auf drei Faktoren: einer ungewöhnlich aggressiven Auswahl von Opfern, einer schnellen Skalierung des Affiliate-Modells und einem Fokus auf erprobte Eindringmethoden, die auf Masse statt auf technische Innovation ausgelegt sind. Gegenüber Dark Reading sagte er, INC sei besonders wirksam, weil die Gruppe gezielt Sektoren angreife, in denen Unterbrechungen sofortigen Druck erzeugen, den Betrieb wiederherzustellen. Als Beispiele nannte er die schottische Gesundheitsorganisation NHS Dumfries & Galloway sowie das Alder Hey Children’s Hospital in Liverpool in England.
Für den Erstzugang nutzt INC laut Acronis Spear-Phishing, gültige Zugangsdaten über Initial-Access-Broker sowie die Ausnutzung bekannter Schwachstellen. Genannt werden Citrix Bleed 2 mit CVE-2025-5777, die SimpleHelp-RMM-Lücke CVE-2024-57727, die Citrix-Netscaler-Schwachstelle CVE-2023-3519 und die Fortinet-EMS-Lücke CVE-2023-48788.
Ist der Zugriff erfolgt, folgt ein laut Acronis weitgehend konventionelles Vorgehen. Zur Aufklärung des Netzwerks nutzt die Gruppe Pings, Befehle über cmd.exe sowie etablierte Werkzeuge wie Advanced IP Scanner und netscan. Zugangsdaten werden demnach über ein Base64-kodiertes Skript entwendet, für laterale Bewegung setzt INC auf systemeigene Binärdateien. Zur Umgehung von Schutzmechanismen kommen EDR-Killer sowie Red-Team- und kommerzielle Fernzugriffswerkzeuge für die Kommando- und Kontrollkommunikation zum Einsatz. Abgezogene Daten werden in Archive gepackt und in von den Angreifern kontrollierten Cloud-Speicher hochgeladen.
Die Schadsoftware liegt in einer Windows- sowie einer Linux/ESXi-Version vor und wurde laut Acronis jüngst in Rust neu geschrieben. Das erschwere die Analyse und vereinfache die Pflege plattformübergreifenden Codes. Besondere technische Neuerungen sieht Acronis in den Funktionen der Malware nicht: Prozessbeendigung, Verschlüsselung und Zugangsdaten-Diebstahl seien nicht neu, aber funktional. Ein Hinweis auf die Qualität der Malware sei ihre Nutzung durch andere Akteure. Der Quellcode von INC sei 2024 an mindestens drei Parteien verkauft worden; die Ransomware-Gruppen Lynx und Sinobi sollen Varianten davon einsetzen.
Pontiroli zufolge senkt der Verzicht auf proprietäre Werkzeuge und neuartige Techniken die Einstiegshürde für Affiliates und erleichtert die Skalierung der Operation. Zusätzlichen Rückenwind habe INC dadurch erhalten, dass die Gruppe in einer Phase aufkam, in der mehrere andere Ransomware-Gruppen vom Markt verschwanden, und sich auf Sektoren sowie überwiegend in den USA ansässige Organisationen konzentrierte, bei denen der Zahlungsdruck besonders hoch ist.
Auch ZeroFox stuft INC inzwischen als wichtigen Akteur ein. Adam Darrah, Vice President of Intelligence bei ZeroFox, sagte Dark Reading, INC bewege sich inzwischen neben Gruppen wie Akira, Qilin, RansomHub, Play und Cl0p. Im ersten Quartal dieses Jahres schaffte es INC laut ZeroFox erstmals in die weltweiten Top Fünf des Unternehmens: mit 124 Vorfällen hinter Qilin mit 338, Akira mit 197 und The Gentlemen mit 192, aber vor Cl0p. Darrah bezeichnete die Entwicklung allerdings als uneinheitlich: Der Rückgang gegen Ende 2025 und der Anstieg im ersten Quartal 2026 spiegelten wahrscheinlich eher Fluktuation und erneute Bündelung bei den Affiliates wider als dauerhaft organisches Wachstum.
Acronis hat in seinem Blogbeitrag zudem YARA-Regeln und Kompromittierungsindikatoren veröffentlicht. In dem Beitrag heißt es, Organisationen sollten vor allem ihre externe Angriffsfläche verkleinern und Zugänge an den Netzwerkgrenzen absichern, weil die Affiliates weiterhin auf opportunistische Methoden wie gestohlene Zugangsdaten, Phishing, Wiederverwendung von Zugangsdaten und die Ausnutzung ungepatchter Fernzugriffsdienste setzen.