Montag · 15.06.2026 Ausgabe 2736 RSS
CyberDeutsch
Nachrichten Cybersicherheit täglich
Aktuelle Cybersicherheit-Nachrichten auf Deutsch.
Aktiv Ransomware-Gruppe · Profil

INC Ransom

827Opfer gesamt
28Opfer (30 Tage)
09.08.2023Erstes Auftreten
AktivStatus

Überblick

INC Ransom ist eine produktive Operation aus dem Bereich Ransomware-as-a-Service. Die Gruppe geht systematisch gegen Einrichtungen aus dem Gesundheitswesen, dem öffentlichen Sektor, dem Bildungsbereich sowie der Fertigungsindustrie vor und beschränkt sich dabei nicht auf einzelne Wirtschaftszweige. Ihr geografischer Schwerpunkt liegt auf Nordamerika und Europa. Charakteristisch ist das breite Zielspektrum: Praktisch keine Branche gilt der Gruppe als ausgenommen, sodass über einen längeren Zeitraum hinweg zahlreiche Opfer unterschiedlicher Sektoren betroffen sind. Als Ransomware-as-a-Service-Modell stellt INC Ransom die zugrunde liegende Erpressungsinfrastruktur bereit und arbeitet im Verbund mit beteiligten Akteuren, was die Reichweite und die Häufigkeit der Angriffe erhöht. Das konsequente Vorgehen gegen kritische und versorgungsrelevante Einrichtungen wie das Gesundheits- und Bildungswesen sowie staatliche Stellen macht die Gruppe zu einer fortlaufend aktiven Bedrohung mit erheblicher Schadenswirkung über mehrere Regionen und Branchen hinweg.

Taktiken & Vorgehen

Zum Erbeuten von Zugangsdaten setzt die Gruppe „Mimikatz“ ein. Für die Erkundung des Netzwerks und der Verzeichnisdienste kommen „AdFind“, „Advanced IP Scanner“, „SoftPerfect NetScan“ sowie „Finger“ zum Einsatz. Die seitliche Bewegung im Netz und die Ausführung von Befehlen auf weiteren Systemen erfolgt unter anderem über „PsExec“. Für den Fernzugriff nutzt die Gruppe „AnyDesk“ und den „Bitvise SSH Client“. Zum Sammeln und Verpacken von Daten dienen „7-Zip“ und „WinRAR“. Die anschließende Datenabfluss-Phase wird über eine Reihe von Übertragungs- und Cloud-Werkzeugen abgewickelt, darunter „RClone“, „Restic“, „s5cmd“, „MEGA“ und „BackBlaze“. Dieses Vorgehen verbindet Erkundung, Anmeldedatendiebstahl und gezielte Exfiltration zu einer durchgängigen Angriffskette.

Schutzmaßnahmen

Da „Mimikatz“ zum Abgreifen von Anmeldedaten genutzt wird, sollten der Zugriff auf den Speicher der Authentifizierungsprozesse überwacht und privilegierte Konten besonders abgesichert werden. Gegen die eingesetzten Erkundungswerkzeuge wie „AdFind“, „Advanced IP Scanner“ und „SoftPerfect NetScan“ sollten ungewöhnliche Scan- und Verzeichnisabfragen erkannt und protokolliert werden. Fernzugriffsprogramme wie „AnyDesk“ und der „Bitvise SSH Client“ sollten eingeschränkt und nicht autorisierte Installationen blockiert werden. Die Ausführung über „PsExec“ sollte überwacht und auf berechtigte Konten begrenzt werden. Gegen den Datenabfluss über „RClone“, „Restic“, „s5cmd“, „MEGA“ und „BackBlaze“ sollten ausgehende Verbindungen zu Cloud- und Übertragungsdiensten kontrolliert und auffällige Datenmengen erkannt werden.

Chronologie

  1. 09.08.2023 Erste bekannte Aktivität
  2. 11.06.2026 Zuletzt aktiv

Erwähnt in

  • Noch kein Artikel verlinkt — die Verknüpfung entsteht automatisch, sobald ein Beitrag den Gruppennamen nennt.