El grupo de ransomware “INC Ransom” multiplica sus ataques y demuestra gran sofisticación técnica

1. Introducción

Durante los últimos meses, el grupo de ransomware conocido como «INC Ransom» ha pasado de ser una amenaza emergente a convertirse en uno de los actores más activos y sofisticados del panorama cibercriminal. A pesar de que su nombre podría sugerir métodos menos agresivos, investigadores y analistas de ciberseguridad han quedado sorprendidos tanto por la rápida escala de sus operaciones como por la complejidad de sus tácticas. El presente artículo analiza en profundidad el modus operandi de INC Ransom, el alcance de sus ataques y las mejores estrategias de defensa para los equipos de seguridad empresarial.

2. Contexto del Incidente o Vulnerabilidad

INC Ransom fue identificado por primera vez hacia finales de 2023, pero desde el primer trimestre de 2024 ha experimentado un crecimiento exponencial en el número de víctimas reportadas. Según datos recopilados por firmas de threat intelligence, el grupo ha atacado a organizaciones de sectores críticos como manufactura, transporte, administración pública y educación, afectando principalmente a empresas en Estados Unidos y Europa occidental.

A diferencia de otros grupos de ransomware-as-a-service (RaaS), INC Ransom parece operar con un núcleo centralizado, lo que le ha permitido mantener un control estricto sobre la calidad y ejecución de sus campañas. Esta estrategia ha resultado en una tasa de éxito superior al 60% en sus intentos de cifrado y exfiltración de datos, según estimaciones de Coveware y datos de portales de filtraciones en la dark web.

3. Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

INC Ransom emplea un enfoque multifacético para comprometer redes corporativas. Sus vectores iniciales suelen incluir:

– Explotación de vulnerabilidades conocidas, como CVE-2023-34362 (MOVEit Transfer) y CVE-2024-21412 (Microsoft Exchange)
– Phishing dirigido (spear phishing) con documentos maliciosos adjuntos
– Acceso a través de credenciales robadas o compradas en foros clandestinos

Una vez dentro, el grupo utiliza herramientas legítimas y frameworks ampliamente reconocidos por profesionales de Red Team, como Cobalt Strike para el movimiento lateral y la persistencia, y Metasploit para la explotación de servicios internos. INC Ransom implementa técnicas de living-off-the-land (LOTL) para dificultar la detección, abusando de PowerShell, PsExec y WMI.

Entre sus TTPs alineadas con el framework MITRE ATT&CK destacan:

– TA0001 – Initial Access: Spearphishing Attachment, Exploit Public-Facing Application
– TA0002 – Execution: Command and Scripting Interpreter (PowerShell)
– TA0008 – Lateral Movement: Remote Services, Exploitation of Remote Services
– TA0011 – Command and Control: Application Layer Protocol, Encrypted Channel

Sus indicadores de compromiso (IoC) incluyen dominios de comando y control en TLDs poco habituales, binarios con nombres aleatorios y hashes SHA256 específicos que cambian con frecuencia para evadir firmas tradicionales.

4. Impacto y Riesgos

El impacto de los ataques de INC Ransom ha sido significativo tanto a nivel operativo como económico. Las demandas de rescate oscilan entre 500.000 y 5 millones de dólares, y el grupo ha demostrado voluntad de publicar datos confidenciales en sus portales de filtración si no se paga a tiempo. Según el último informe de Chainalysis (Q2 2024), se estima que INC Ransom ha recaudado más de 25 millones de dólares en pagos de rescates en lo que va de año.

Además del cifrado de sistemas, INC Ransom realiza doble extorsión mediante la exfiltración previa de datos, lo que expone a las víctimas a riesgos de cumplimiento normativo, especialmente en el marco GDPR y la directiva NIS2 en la Unión Europea. Los sectores más afectados han experimentado interrupciones de servicio de hasta 10 días y pérdidas económicas que superan los 2 millones de euros por incidente.

5. Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo ante INC Ransom, los expertos recomiendan:

– Aplicar parches de seguridad de manera inmediata, especialmente para productos Microsoft y software de transferencia de archivos
– Implementar autenticación multifactor (MFA) en todos los accesos críticos
– Desplegar soluciones de EDR/XDR con capacidades de detección de LOTL y actividad anómala
– Segmentar la red para limitar el movimiento lateral
– Realizar simulacros de respuesta a incidentes y copias de seguridad offline
– Monitorizar indicadores de compromiso e integrar feeds de inteligencia de amenazas

6. Opinión de Expertos

Andrés Redondo, analista principal de un SOC europeo, subraya: “INC Ransom ha demostrado una capacidad inusual para adaptar sus métodos y aprovechar vulnerabilidades recientes. Su uso avanzado de técnicas evasivas eleva el listón para la defensa proactiva.”

Por su parte, María Gutiérrez, consultora en respuesta a incidentes, advierte: “La presión regulatoria por GDPR y NIS2 convierte a la doble extorsión en un arma especialmente peligrosa para las empresas europeas, que deben priorizar la protección de datos sensibles y la notificación temprana de incidentes.”

7. Implicaciones para Empresas y Usuarios

La escalada de operaciones de INC Ransom obliga a las organizaciones a revisar sus políticas de gestión de vulnerabilidades y a robustecer los controles de acceso, especialmente en infraestructuras críticas y sistemas expuestos a Internet. La colaboración con proveedores de ciberinteligencia y la inversión en formación continua del personal son factores clave para reducir la superficie de ataque y mejorar la resiliencia.

Para los usuarios finales, la concienciación frente al phishing y el uso responsable de credenciales siguen siendo medidas esenciales.

8. Conclusiones

El auge del grupo INC Ransom evidencia la profesionalización y el dinamismo de las amenazas de ransomware en 2024. Su combinación de rapidez, sofisticación técnica y agresividad en la extorsión plantea nuevos retos tanto a nivel operativo como legal para las organizaciones europeas y americanas. La actualización constante de las defensas, la monitorización activa y la preparación ante incidentes se consolidan como pilares indispensables frente a este tipo de adversarios.

(Fuente: www.darkreading.com)