INCは新興のRaaS(サービス型ランサムウェア)事業者から、2026年における最も活発なランサムウェアファミリーの一つへと成長を遂げました。2023年以降に800件を超える被害を記録し、競合グループの混乱に乗じてアフィリエイトベースを拡大しています。
同グループの最近のキャンペーンは、段階的なツールの改良と新たな圧力戦術の両面を示しています。具体的には、窃取したデータによる二重恐喝と、要求の物理的な可視性を確保するための身代金メモのネットワーク印刷自動化が組み合わされています。
技術的な面では、INCはツールセットを刷新しています。WindowsおよびLinux/ESXi向けの暗号化モジュールはいずれもRustで書き直されており、クロスプラットフォームビルドが可能となりました。また、不慣れなコンパイラのアーティファクトやコンテナ化されたビルド痕跡により、解析の難易度も高まっています。
Windowsのペイロードは、高度に難読化されたPE64バイナリとして配布されます。一部のサンプルではVMProtectを利用する一方、別のビルドではインポートテーブルとネイティブAPIの使用が明示されています。
静的・動的解析により、このマルウェアがオペレーター主導であることが示されています。コマンドライン引数を解析して細かな制御を行い、CPUコア数に比例したスレッドプール(コア数 × 4)を生成します。また、複数の暗号化モード(高速・中速・低速)と部分暗号化ヒューリスティックをサポートし、身代金メモを表示するホストの応答性を維持しながら、暗号化の影響を迅速に拡大します。
INCの非対称・対称ハイブリッド暗号化方式は、Curve25519から派生した鍵とAES/Salsa構成を使用して、ファイルごとの鍵を保護します。暗号化されたファイルには、一貫した「.INC」拡張子と独自のフッター署名が付与されます。
Linux/ESXiターゲットでは、バイナリがX25519 ECDHを実装してファイルごとにAES-CTR鍵を導出します。また、vim-cmdを通じてVMを列挙・シャットダウンし、指定したVM IDをオプションでスキップするESXi固有のルーチンも備えており、仮想化インフラ全体へのペイロード到達範囲を最大化するよう設計されています。
被害は世界各地に及びますが、主な標的は米国の組織です。過去にはNHSスコットランド、Xerox、テキサス州弁護士会など、著名な被害者も多数存在しています。
Acronis Threat Research Unit(TRU)の報告では、INCランサムウェアの進化、攻撃チェーン、被害者分析、ツール、および最近の戦術・技術・手順(TTP)が詳しく検証されています。
INC ランサムウェアの二重恐喝手口
同グループの侵入ライフサイクルは、成熟した人間主導型ランサムウェアのプレイブックに従っています。初期アクセスのベクターには、スピアフィッシング、IAB(初期アクセスブローカー)から購入した正規認証情報、CitrixやFortinet の CVE、および最近のSimpleHelp RMMの脆弱性など、インターネットに公開されたサービスへの悪用が含まれます。
探索および横断移動には、ネイティブツール、Angry IP Scanner、PsExec、RDP、および商用RMMソリューションが使用されています。
最近のインシデントテレメトリーにより、Veeamバックアップに特化した更新版クレデンシャルダンパーが確認されています。これはVeeam-Get-Creds.ps1の改変バリアントで、ハードコードされたSQL接続パラメーターと、Veeamの新しいsalt付きDPAPIクレデンシャル暗号化のサポートが追加されています。
この機能強化は、現代的なバックアップ展開への積極的な適応を示しており、暗号化前に復旧機能を完全に無効化できる可能性を高めています。
防御回避の手法には、プロセス終了(PsKillおよび脆弱なドライバーを展開するカスタムプロセス終了ツール)、DeviceIoControl呼び出しによるシャドウコピーの削除、EDRを無効化するための標的型攻撃が含まれます。
C2(コマンド&コントロール)およびハンズオンキーボードアクセスには、Cobalt Strikeをはじめ、AnyDesk、ScreenConnect、TeamViewerが組み合わせて使用されています。
データ窃取には、7-Zipアーカイブとrcloneを使ったクラウドストレージへの段階的な転送が利用されます。この手法は、多様なクラウドプロバイダーへのデータ転送を容易にしつつ、境界フィルタの回避にも役立ちます。
このランサムウェアのサンプルは、GCC(3.X)で位置独立共有オブジェクト(DYN)としてコンパイルされた、64ビットLinux実行可能・リンク可能フォーマット(ELF64)バイナリです。
技術的な進化にとどまらず、INCの作戦体制は心理的・契約的な圧力を重視しています。オペレーターは二重サイトインフラを運用しており、被害者向けの非公開交渉ポータルと、窃取データを公開するリークサイトを併設しています。
デスクトップの壁紙変更や.txt/.html形式の身代金メモの投下に加え、このマルウェアはネットワーク上のプリンターを積極的に列挙し、身代金の指示を含む印刷ジョブを実行します。これにより、従業員やパートナーの目に触れる紙の恐喝通知が生成され、支払い決断を急かす有形の圧力手段となっています。
被害者分析では、米国が中心(リストの65%超)となっており、データの機密性と業務停止による支払い圧力が高い、法律サービス、製造、テクノロジー、医療、建設の各分野に偏っています。
また、2024年にソースコードが販売されたことでINCのコードベースが拡散し、LynxやSinobiなどの関連ファミリーが生まれ、ランサムウェアエコシステム全体に技術が広まっています。
防御側は、外部攻撃面の縮小、公開サービスへのパッチ適用、バックアップ認証情報の保護を優先すべきです。また、クレデンシャルダンピングスクリプト、異常なrcloneの動作、不正な印刷ジョブの監視も欠かせません。
Veeamの認証情報アクセスの迅速な検出とバックアップサーバーアカウントの強化は、暗号化と二重恐喝の複合的な影響を抑える上で引き続き重要です。
侵害の痕跡(IOC)
Windows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589d9480fbfec2d8e61638eb0b537183d0f9977411fd1d2c0f8eb611feebe880
7f37351979c249417cb180b4ede0ed17e5fe2a1f08add4d72606b589f8fdb245
5cc212f84d2bf3fbab165aaf09b16e00fcf2f1ccd880d24b14404c53dcdbf241
60aeb9f7bccf377ff02ed64783e66a62c0f976878d9729b067bc7e5b0b9da9d6
6cd349eda0fa6c8b274a0920852c68f8b727afea1fdbc69ad183cef05d9cf141
注意: IPアドレスおよびドメインは、誤解決やハイパーリンク化を防ぐため、意図的にdefang処理(例:[.])が施されています。MISP、VirusTotal、SIEMなど管理された脅威インテリジェンスプラットフォーム内でのみ、re-fang処理を行ってください。
翻訳元: https://gbhackers.com/inc-ransomware-uses-double-extortion/
