INC steigt zu einer der aktivsten RaaS-Gruppen auf

Zusammenfassung

Die Ransomware-Gruppe INC hat sich laut Acronis von einer jungen Ransomware-as-a-Service-Operation zu einer der produktivsten Cybercrime-Gruppen im Jahr 2026 entwickelt. Seit August 2023 reklamiert die Gruppe demnach mehr als 830 Opfer. Acronis-Forscher Darrel Virtusio führt den Aufstieg auch auf Verschiebungen im Ransomware-Markt zurück: Die Zerschlagung von LockBit und die Abschaltung von BlackCat hätten INC neue Expansionsmöglichkeiten eröffnet, als Affiliates zu anderen Ransomware-Angeboten wechselten. Nach Angaben von Acronis entfallen mehr als 65 Prozent der gelisteten Opfer auf Organisationen in den USA. Besonders häufig betroffen sind demnach Rechtsdienstleistungen, Fertigung, Bau, Technologie und das Gesundheitswesen. ZeroFox ordnet INC im ersten Quartal 2026 als viertgrößte Ransomware-Gruppe ein – hinter Qilin mit 338, Akira mit 197 und The Gentlemen mit 192 Vorfällen. Auf INC entfielen in diesem Zeitraum laut den von ZeroFox ausgewerteten Daten mehr als 120 Vorfälle.

Acronis beschreibt bei INC eine technische und operative Weiterentwicklung der Gruppe. Die Windows- sowie Linux-/ESXi-Verschlüsseler wurden demnach in Rust neu geschrieben. Das soll die plattformübergreifende Entwicklung erleichtern und die Analyse durch Reverse Engineering erschweren.

Zu den aktuellen Angriffen gehört laut Acronis auch ein überarbeiteter Zugangsdaten-Extraktor. Das Werkzeug kann neuere Veeam-Backup-Installationen ins Visier nehmen, die eine mit Salt versehene DPAPI-Verschlüsselung für Zugangsdaten einsetzen.

Nach Angaben von Acronis nutzen die Affiliates von INC ein breites Spektrum an Werkzeugen und Techniken. In den jüngsten Kampagnen setze die Gruppe weiter auf ungepatchte Edge-Geräte für den Erstzugang, ziehe Zugangsdaten von Veeam-Backup-Servern ab und bewege sich mit einer Mischung aus LOLBins und kommerziellen RMM-Werkzeugen durch die Netzwerke der Opfer.

Hinzu kommt eine Entwicklung im Untergrundmarkt: Der Verkauf der Windows- und Linux-Varianten von INC im Mai 2024 habe zur Entstehung verwandter Ransomware-Familien wie Lynx und Sinobi geführt, berichtet Acronis. Zwischen diesen Familien gebe es „erhebliche Code-Überschneidungen“, während sich die Marke INC zugleich weiterentwickelt habe.

Acronis sieht darin ein Beispiel dafür, dass Ransomware-Gruppen auch mit weithin bekannten Techniken wachsen und viele Opfer erzielen können, ohne auf besonders ausgefeilte Vorgehensweisen oder eigens entwickelte Spezialwerkzeuge angewiesen zu sein. Das habe zu einem kontinuierlichen Strom an Opfern in unterschiedlichen Regionen und Branchen geführt.

Besonders im Blick hat INC laut Acronis Branchen, in denen Ausfallzeiten starken finanziellen Druck erzeugen können. Genannt werden Gesundheitswesen, Rechtsdienstleistungen, professionelle Dienstleistungen, Fertigung und Bau. Acronis zufolge stärkt die Gruppe ihre Operation durch die Rust-basierten Überarbeitungen der Schadsoftware und den fortlaufenden Ausbau ihres Werkzeugkastens.

ZeroFox bewertet INC anhand eigener Daten im ersten Quartal 2026 als viertprominenteste Ransomware-Gruppe. Vor INC lagen in diesem Zeitraum nur Qilin, Akira und The Gentlemen. Für INC verzeichnete ZeroFox in diesem Quartal mehr als 120 Vorfälle.

INC steigt zu einer der aktivsten RaaS-Gruppen auf

Ähnliche Artikel

Neueste Artikel