INC Ransomware suma 830 víctimas en 2026

El panorama global del ransomware continúa evolucionando a gran velocidad, y uno de los nombres que más preocupa actualmente a investigadores y organizaciones es INC Ransomware. Lo que comenzó como una operación relativamente discreta de ransomware como servicio (RaaS) en 2023 se ha transformado en una de las bandas de ciberdelincuencia más activas y exitosas de 2026, acumulando al menos 830 víctimas confirmadas desde agosto de 2023.

Según un reciente análisis publicado por Acronis, el crecimiento de INC ha sido impulsado por cambios significativos en el ecosistema del ransomware, incluyendo la caída de grupos históricos como LockBit y BlackCat. Estas circunstancias permitieron que numerosos afiliados experimentados migraran hacia nuevas plataformas criminales, fortaleciendo rápidamente las capacidades operativas de INC y ampliando su alcance global.

El ascenso de INC tras la caída de LockBit y BlackCat

La desarticulación de algunas de las organizaciones de ransomware más importantes de los últimos años generó un vacío dentro del mercado clandestino. Aprovechando esta situación, INC logró captar afiliados, desarrolladores y operadores que anteriormente trabajaban para otros programas criminales.

De acuerdo con Darrel Virtusio, investigador de Acronis, más del 65% de las víctimas identificadas pertenecen a organizaciones ubicadas en Estados Unidos, aunque las campañas del grupo se extienden por múltiples regiones y sectores económicos.

Entre las industrias más atacadas destacan:

• Servicios legales.
• Manufactura.
• Construcción.
• Tecnología.
• Salud.
• Servicios profesionales.
• Infraestructuras críticas.

Estos sectores comparten una característica común: dependen de la continuidad operativa para mantener ingresos, productividad y prestación de servicios, lo que aumenta la presión para pagar rescates tras una interrupción.

La evolución tecnológica de INC: ransomware reescrito en Rust

Uno de los aspectos más destacados de la evolución de INC es la modernización de sus herramientas de cifrado.

Los investigadores descubrieron que tanto las versiones para Windows como para Linux y entornos VMware ESXi fueron reescritas utilizando Rust, un lenguaje de programación cada vez más popular entre grupos de amenazas avanzadas.

La adopción de Rust proporciona múltiples ventajas para los atacantes:

Compatibilidad multiplataforma

El mismo código puede adaptarse fácilmente a diferentes sistemas operativos, reduciendo los costes de desarrollo y mantenimiento.

Mayor resistencia al análisis

Las aplicaciones desarrolladas en Rust suelen presentar mayores dificultades para los investigadores de malware debido a su estructura interna y mecanismos de compilación.

Mejor rendimiento

Los cifradores pueden ejecutarse de manera más eficiente y aprovechar mejor los recursos del sistema comprometido.

Esta tendencia ya ha sido observada en otros grupos de ransomware modernos, que buscan aumentar la efectividad de sus operaciones y dificultar las tareas de ingeniería inversa.

La venta del código fuente impulsó nuevas variantes criminales

Otro factor clave en la expansión de INC ocurrió en mayo de 2024, cuando variantes de ransomware para Windows y Linux comenzaron a comercializarse en foros clandestinos.

Como resultado, surgieron nuevas familias de ransomware estrechamente relacionadas, entre ellas:

• Lynx Ransomware.
• Sinobi Ransomware.

Los investigadores detectaron importantes similitudes de código entre estas variantes y la plataforma original de INC, lo que demuestra cómo la reutilización de herramientas criminales continúa alimentando el ecosistema del ransomware moderno.

La venta de malware como servicio permite que actores menos experimentados lancen campañas sofisticadas sin necesidad de desarrollar sus propias herramientas desde cero.

Cómo opera INC Ransomware: cadena completa de ataque

A diferencia de otros grupos que dependen de técnicas altamente innovadoras, INC ha demostrado que la combinación de métodos conocidos puede ser extremadamente efectiva cuando se ejecuta de forma consistente.

1. Acceso inicial

Los operadores utilizan múltiples vectores para comprometer redes corporativas.

Entre los métodos más frecuentes se encuentran:

• Campañas de spear-phishing.
• Compra de credenciales robadas a Initial Access Brokers (IAB).
• Explotación de vulnerabilidades públicas.

Entre las vulnerabilidades utilizadas destacan:

• Citrix NetScaler (CVE-2023-3519).
• Citrix NetScaler (CVE-2025-5777).
• Fortinet EMS (CVE-2023-48788).
• SimpleHelp (CVE-2024-57727).

La explotación de dispositivos perimetrales sin parchear sigue siendo una de las principales puertas de entrada para los grupos de ransomware.

2. Robo de credenciales

Una vez dentro de la red, los atacantes buscan credenciales administrativas y de respaldo.

Los investigadores observaron el uso de herramientas actualizadas capaces de extraer información de servidores Veeam, incluyendo implementaciones que utilizan cifrado de credenciales basado en DPAPI con sal.

El acceso a los sistemas de respaldo resulta especialmente valioso porque permite neutralizar mecanismos de recuperación antes de desplegar el ransomware.

3. Movimiento lateral

INC utiliza herramientas legítimas ampliamente conocidas para desplazarse por los entornos comprometidos.

Entre ellas destacan:

• Remote Desktop Protocol (RDP).
• PsExec.
• PowerShell.
• Diversos LOLBins (Living-off-the-Land Binaries).

El uso de herramientas legítimas dificulta la detección por parte de los sistemas de seguridad tradicionales.

4. Desactivación de defensas

Los operadores implementan técnicas BYOVD (Bring Your Own Vulnerable Driver), que consisten en introducir controladores vulnerables para debilitar soluciones de seguridad instaladas.

Entre los controladores identificados figuran:

• filwfp.sys
• filnk.sys
• fildds.sys

Esta técnica permite evadir herramientas EDR y antivirus antes del despliegue final del ransomware.

5. Persistencia y control remoto

Los investigadores observaron el uso frecuente de herramientas comerciales de administración remota como:

Cobalt Strike.
AnyDesk.
ScreenConnect.
TeamViewer.

Estas soluciones facilitan el acceso persistente y el control completo de los sistemas comprometidos.

6. Exfiltración de datos

INC opera bajo un modelo de doble extorsión.

Antes de cifrar los sistemas, los atacantes roban grandes cantidades de información sensible utilizando Rclone.

Los datos suelen comprimirse y protegerse con contraseña antes de ser transferidos a infraestructuras controladas por los delincuentes.

Esta estrategia permite extorsionar a las víctimas incluso si disponen de copias de seguridad funcionales.

7. Cifrado final

Una vez completadas las fases anteriores, se ejecuta el ransomware.

Las versiones más recientes incorporan:

• Cifrado parcial para acelerar ataques.
• Procesamiento multihilo.
• Opciones avanzadas de línea de comandos.
• Funciones específicas para entornos VMware ESXi.

Cuando se utiliza el parámetro "--esxi", el malware intenta apagar máquinas virtuales activas antes de iniciar el cifrado, maximizando el impacto operativo.

INC se posiciona entre los grupos más peligrosos de 2026

Los datos recopilados por ZeroFox muestran que INC fue el cuarto grupo de ransomware más activo durante el primer trimestre de 2026.

El ranking quedó encabezado por:

• Qilin – 338 víctimas.
• Akira – 197 víctimas.
• The Gentlemen – 192 víctimas.
• INC – más de 120 incidentes.

Estas cifras reflejan la rápida consolidación de INC dentro del ecosistema global de extorsión digital.

Por qué los sectores críticos son los principales objetivos

Los operadores de INC seleccionan cuidadosamente a sus víctimas.

Las industrias más afectadas suelen presentar:

• Alta dependencia tecnológica.
• Costes elevados por interrupción operativa.
• Información sensible de clientes.
• Amplias cadenas de suministro.
• Obligaciones regulatorias estrictas.

En sectores como salud, manufactura y servicios legales, incluso unas pocas horas de inactividad pueden generar pérdidas millonarias, aumentando la probabilidad de pago del rescate.

Además, una intrusión exitosa puede afectar no solo a la organización atacada, sino también a proveedores, socios comerciales y clientes conectados a la misma red de confianza.

En fin...

La evolución de INC Ransomware demuestra cómo los grupos criminales pueden alcanzar niveles de éxito extraordinarios utilizando tácticas ampliamente conocidas, herramientas comerciales y vulnerabilidades sin parchear. Con más de 830 víctimas desde 2023, una infraestructura cada vez más sofisticada y malware reescrito en Rust, INC se ha convertido en una de las amenazas de ransomware más relevantes de 2026.

Su capacidad para comprometer sistemas de respaldo, explotar vulnerabilidades expuestas a Internet y ejecutar ataques de doble extorsión convierte a esta operación en un riesgo significativo para organizaciones de todos los tamaños. Ante este escenario, la aplicación oportuna de parches, la protección de credenciales, la segmentación de redes y la monitorización continua siguen siendo las mejores defensas frente a una amenaza que continúa creciendo a nivel mundial.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login