Zwischen Juli 2024 und Dezember 2025 reagierte das ACSC auf elf INC-Ransomware-Angriffe in Australien, die überwiegend Unternehmen aus dem Gesundheitswesen oder dem Bereich professionelle Dienstleistungen trafen. In der Regel verschafften sich die Angreifer Zugang, indem sie kompromittierte Konten bei sogenannten Initial Access Brokern (IABs) kauften. Daneben ist INC dafür bekannt, einzelne Opfer per Spear-Phishing anzugreifen und bekannte Schwachstellen in mit dem Internet verbundenen Geräten auszunutzen.
Weil INC nach dem Modell Ransomware-as-a-Service (RaaS) arbeitet, variieren die Taktiken, Techniken und Vorgehensweisen je nachdem, welcher Partner einen Angriff ausführt. Nach dem ersten Zugriff bewegten sich die Angreifer seitlich durch die Netzwerke, weiteten ihre Rechte bis auf Administratorebene aus und brachten anschließend ihre Verschlüsselungssoftware sowie eine Erpressernachricht ein. In einigen Fällen schleusten sie auch personenbezogene Daten (PII) und geschützte Gesundheitsdaten (PHI) aus. Zum Komprimieren und Abziehen der Daten setzt INC legitime Softwareprogramme ein.
Im Vergleich zu Australien verweist die Warnung für Neuseeland auf diffusere Bedrohungen durch verschiedene opportunistische Akteure in unterschiedlichen Branchen. INC trat im Mai 2025 in Erscheinung, als die Gruppe eine große Datenmenge bei einer Gesundheitsorganisation stahl, mehrere Server und Endgeräte verschlüsselte und die erbeuteten Daten später auf ihrer Leak-Seite im Darknet veröffentlichte.
In Tonga ließ INC einzelne Einrichtungen aus und ging direkt gegen das Gesundheitsministerium des Landes (Ministry of Health) vor. Am 15. Juni 2025 störte die Gruppe die Informations- und Kommunikationsnetze des Ministeriums und legte damit zentrale staatliche Dienste lahm. Die Behörden haben inzwischen einen konkreten, namentlich benannten Täter hinter dem Angriff auf Tonga identifiziert — Roman Khubov, online bekannt als “blackod” — und ein Foto seines Gesichts veröffentlicht. Über Khubov ist abseits der knappen Angaben in der Warnung öffentlich wenig bekannt.
“Angreifer skalieren nicht nach lokaler Größe, sondern nach Gelegenheit”, erklärt Shane Barney, CISO von Keeper Security. Kleinere Staaten verließen sich oft auf zentralisierte, ressourcenarme Infrastruktur, was sie verhältnismäßig verwundbarer mache; selbst ein einziger erfolgreicher Einbruch könne überproportionale Folgen haben, und die Kapazitäten für die Vorfallsreaktion seien womöglich begrenzter.
Die Behörden Ozeaniens empfehlen grundlegende Schutzmaßnahmen: das Überwachen und Einschränken von Netzwerkverkehr und Fernzugriffen, den Einsatz von Multifaktor-Authentifizierung (MFA) sowie ein konsequentes Schwachstellenmanagement. “INC setzt keine neuen oder hochmodernen Taktiken ein, um diese Branche zu kompromittieren, sondern das, was ich als Alttaktiken bezeichne”, sagt Christopher Hills, Chief Security Strategist bei BeyondTrust. Die Akteure spazierten mit gültigen Zugangsdaten direkt in die Umgebungen hinein. Gruppen wie INC legten offen, dass Organisationen — etwa im Gesundheitswesen — verbreitete Sicherheitslücken noch nicht geschlossen hätten, weil sie zu sehr mit dem “glänzenden neuen Objekt” künstliche Intelligenz beschäftigt seien.
