AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**INC se consolida como uno de los grupos de ransomware más activos tras la caída de LockBit y BlackCat**

admin

### 1. Introducción

En el panorama actual de las amenazas cibernéticas, la evolución de los grupos de ransomware representa un reto constante para los equipos de ciberseguridad. Un informe reciente de Acronis analiza el vertiginoso ascenso de INC, un grupo que ha pasado de ser una operación incipiente de ransomware como servicio (RaaS) a posicionarse entre los actores más prolíficos de 2026, con más de 830 víctimas confirmadas desde agosto de 2023. Este crecimiento se ha visto favorecido por la disrupción de otros grupos rivales como LockBit y BlackCat, generando un efecto dominó en el ecosistema del cibercrimen.

### 2. Contexto del Incidente o Vulnerabilidad

El ecosistema de ransomware experimentó cambios significativos a partir de mediados de 2023, cuando las operaciones policiales internacionales lograron desmantelar a LockBit y BlackCat (conocido también como ALPHV). Estos golpes dejaron un vacío de poder, que rápidamente fue ocupado por nuevos actores y, especialmente, por INC. El grupo ha sabido aprovechar la migración de afiliados experimentados, quienes buscaron plataformas alternativas para continuar sus actividades ilícitas bajo el modelo RaaS.

El modelo RaaS facilita la proliferación de ataques, ya que permite a actores con poca experiencia técnica lanzar campañas sofisticadas mediante el alquiler de herramientas y servicios proporcionados por los operadores principales. INC se ha convertido en una opción preferida tras la caída de sus predecesores, evidenciando la resiliencia y adaptabilidad del cibercrimen.

### 3. Detalles Técnicos

INC opera bajo una estructura RaaS, permitiendo a afiliados lanzar ataques personalizables contra objetivos seleccionados. El grupo utiliza variantes propias de ransomware, identificadas en varias campañas recientes y clasificadas bajo diferentes CVE según los vectores de ataque empleados. Entre las vulnerabilidades explotadas destacan:

– **CVE-2023-34362** (MOVEit Transfer): ampliamente utilizada para comprometer infraestructuras críticas y cadenas de suministro.
– **CVE-2023-40044** (Citrix Bleed): explotada en ataques dirigidos contra entornos empresariales.
– **CVE-2024-23897** (Jenkins CLI): empleada para la escalada de privilegios y movimiento lateral.

En cuanto a TTPs, INC sigue técnicas alineadas con el framework MITRE ATT&CK, destacando:

– **Initial Access**: spear-phishing, explotación de vulnerabilidades públicas (T1190).
– **Execution**: payloads cifrados y scripts Powershell (T1059).
– **Lateral Movement**: uso de herramientas legítimas como PsExec y RDP (T1021).
– **Exfiltration**: doble extorsión mediante filtrado previo de datos sensibles (T1041).

Los IoC identificados incluyen direcciones IP asociadas a infraestructuras de comando y control (C2), hashes de archivos maliciosos y patrones de tráfico inusual hacia dominios recientemente registrados.

Los afiliados de INC también han sido vistos utilizando frameworks como Metasploit para la explotación inicial y Cobalt Strike para el post-explotación y persistencia, lo que dificulta la detección y contención de los ataques.

### 4. Impacto y Riesgos

Desde agosto de 2023, INC ha reclamado al menos 830 víctimas, afectando principalmente a sectores como manufactura, servicios profesionales, salud y administraciones públicas. El impacto económico es significativo: se estima que, en los primeros seis meses de actividad, los rescates exigidos superaron los 90 millones de euros, con pagos individuales que varían entre 100.000 y 4 millones de euros.

La técnica de doble extorsión multiplica el riesgo reputacional y de cumplimiento para las organizaciones afectadas, especialmente bajo el marco regulatorio del GDPR y la inminente entrada en vigor de la directiva NIS2. La filtración de datos personales puede desencadenar sanciones administrativas y pérdida de confianza de clientes y socios.

### 5. Medidas de Mitigación y Recomendaciones

Los profesionales de ciberseguridad deben adoptar un enfoque proactivo y multicapa para hacer frente a la amenaza de INC:

– **Parches y actualizaciones**: Mantener los sistemas operativos y aplicaciones actualizadas, priorizando los CVE explotados por el grupo.
– **Monitorización avanzada**: Implementar soluciones EDR/XDR para la detección temprana de movimientos laterales y actividades anómalas.
– **Segmentación de red**: Limitar el movimiento lateral y aislar los sistemas críticos.
– **Copias de seguridad**: Realizar backups off-line y pruebas regulares de restauración.
– **Concienciación**: Formar al personal sobre técnicas de ingeniería social y phishing.
– **Plan de respuesta**: Actualizar y probar los planes de contingencia y comunicación ante incidentes.

### 6. Opinión de Expertos

Analistas de Acronis y consultores independientes coinciden en que la resiliencia de INC es resultado directo de la profesionalización del cibercrimen. “La migración de afiliados experimentados tras la caída de grandes grupos ha elevado el nivel de sofisticación y eficacia de INC”, señala Elena Ruiz, CISO de una multinacional europea. “La colaboración entre entidades públicas y privadas, junto a la inteligencia compartida, será clave para contener esta amenaza”.

### 7. Implicaciones para Empresas y Usuarios

Las empresas deben asumir que la amenaza de ransomware es persistente y evolutiva. El cumplimiento de regulaciones como GDPR y NIS2 exige no solo proteger datos personales, sino también informar y responder ante incidentes en plazos estrictos. Los usuarios finales, por su parte, deben estar alerta ante correos sospechosos y reportar cualquier actividad inusual.

### 8. Conclusiones

La consolidación de INC como uno de los grupos de ransomware más activos evidencia la capacidad de adaptación del cibercrimen frente a la presión policial. Su modelo RaaS y la explotación de vulnerabilidades recientes exigen a las organizaciones una vigilancia constante y una estrategia de defensa en profundidad. La cooperación internacional y la inversión en ciberresiliencia serán determinantes para mitigar el impacto de estas amenazas en el tejido empresarial europeo.

(Fuente: feeds.feedburner.com)