Que es
INC Ransom es un grupo de ciberataques reconocido como una Advanced Persistent Threat (APT), con origen desconocido o no mapeado. Este actor atacante se identifica bajo alias como "Inc. Ransom", "INC ransomware group" o "INC Virus". Emergió en agosto de 2023, y desde entonces ha estado activo, utilizando técnicas de extorsión digital para extorsionar a víctimas. El grupo es conocido por su uso de doble y triple extorsión, un método que combina el secuestro de datos con amenazas adicionales para incrementar la presión sobre las victimas.
Contexto
El grupo INC Ransom se estableció en agosto de 2023, y su actividad se centró principalmente en la difusión de ransomware con el mismo nombre. Durante el periodo desde el inicio de sus operaciones hasta septiembre medio del mismo año, el grupo publicó datos sensibles de más de una docena de víctimas en su blog. Este comportamiento es típico de actores que utilizan técnicas de data leakage para intensificar la extorsión. La falta de información sobre su origen geográfico o sus actividades posteriores sugiere que podría ser un actor desconocido o no identificado en mapas de amenazas conocidos.
Análisis
El método de doble y triple extorsión utilizado por INC Ransom implica tres etapas: primero, el secuestro de datos; segundo, la amenaza de publicar información sensible si no se paga el rescate; y tercero, una tercera amenaza adicional, como acciones legales o físicas. Este enfoque aumenta la presión sobre las víctimas para acelerar el pago. Sin embargo, debido a que el grupo no ha sido mapeado con identidad conocida, su origen y motivación permanecen en la oscuridad. Esto lo convierte en un actor potencialmente peligroso, especialmente para organizaciones con infraestructuras críticas.
Conclusion
El grupo INC Ransom representa una amenaza significativa debido a su metodología innovadora y su falta de transparencia. Aunque no se han publicado datos específicos sobre sus indicadores de compromiso (IOCs) públicos, su actividad en 2023 sugiere que podría ser un actor desconocido o no mapeado. Las organizaciones deben estar alertas ante amenazas similares y implementar medidas de seguridad robustas para prevenir futuras infecciones. La falta de información sobre su origen refuerza la necesidad de monitoreo continuo y análisis de patrones de ataque.