Huntressのサイバーセキュリティ研究者は、高度なデータ流出プロセスに続いてINCランサムウェアを展開する脅威行為者を最近観察しました。
2026年2月25日、攻撃者は顧客のインフラストラクチャーに侵入し、機密データを盗み、その後ネットワークを暗号化しました。
脅威行為者は、PowerShellやPsExecなどのネイティブWindowsツールを使用して攻撃をステージングし、権限を昇格させ、早期検出システムをバイパスしました。
対象組織はセキュリティエージェントの展開が不完全で、セキュリティ情報とイベント管理(SIEM)システムがなかったため、攻撃者は初期段階で検出されずに活動していました。
攻撃シーケンスは2月24日に脅威行為者が対象エンドポイントにアクセスしてネットワークシェアをマップしたときに始まりました。
彼らはすぐにMicrosoft提供のユーティリティPsExecを起動してシステム権限を昇格させました。その後、攻撃者は「Recovery Diagnostics」という名前のスケジュール済みタスクを作成し、悪意あるスクリプトを実行するように構成しました。
このタスクはbase64でエンコードされたPowerShellコマンドを起動して、クラウドストレージバケットの環境変数を構成しました。攻撃者は合法的なオープンソースバックアップユーティリティResticの名前を変更したバージョンを使用し、winupdate.exeに偽装して通常のシステムプロセスに溶け込ませました。
スクリプトはWasabiでホストされるS3バケットを指していました。ハードコードされた認証情報が含まれており、特にパスワードを単純な単語「password」のままにしていました。
フォローアップコマンドは、偽装されたResticツールに対してテキストドキュメントにリストされた特定のファイルをバックアップするよう指示し、効果的にデータを攻撃者のクラウドインフラストラクチャーに流出させました。
最終的なランサムウェア展開に備えるために、攻撃者は体系的にエンドポイントのセキュリティ防御を破壊しました。
2月25日、彼らはVIPRE Business Agentをアンインストールする実行ファイルを実行し、標準的なアンインストーラを使用して正常に削除されました。
リアルタイム保護をオフにしてWindows Defenderを無効化しました。セキュリティコントロールを剥ぎ取られた環境で、脅威行為者はwin.exeに偽装したINCランサムウェア実行ファイルを起動し、Windows RestartManager APIを利用してファイルをロックして暗号化しました。
この攻撃方法は孤立したイベントではなく、Huntress分析者が記録した2月9日の月初頭にほぼ同一のインシデントがありました。
その侵入中、同じ脅威行為者は一致するbase64エンコードされたPowerShellコマンドを使用してデータ盗難用のRestic構成をプッシュしました。
クラウドストレージアクセスキーと環境変数は両方の攻撃で同一でした。前のインシデントでは、攻撃者はHRSwordというツールを使用してAcronisセキュリティサービスをオフにしました。しかし、迅速な対応はランサムウェアの展開を防ぎました。
さらにこのパターンを検証するために、Cyber Centaursチームは2026年1月22日にINCランサムウェアインフラストラクチャーに関連する非常に類似した活動を報告しました。
名前を変更されたバックアップユーティリティ、ハードコードされたクラウド認証情報、およびセキュリティツールの標的削除の一貫した使用は、この脅威グループが使用する標準的なプレイブックを強調しています。
組織は、このINCランサムウェアキャンペーンに関連する次の侵害指標についてその環境を監視するよう促されています。
翻訳元: https://cyberpress.org/inc-attack-starts-exfiltration/