INC Ransomware: Behörden legen Infrastruktur der Erpresser offen

Internationale Cybersicherheitsbehörden haben die technische Basis der INC Ransomware enthüllt. Die gemeinsame Warnung der australischen, neuseeländischen und tongaischen Behörden liefert erstmals detaillierte Einblicke in das Vorgehen der Gruppe, die seit 2023 weltweit kritische Infrastrukturen angreift. Die neuen Erkenntnisse bieten Unternehmen konkrete Ansätze für Abwehr und Datenwiederherstellung.

So operiert das Ransomware-Kartell

Die INC-Gruppe arbeitet nach einem Ransomware-as-a-Service-Modell (RaaS). Kernentwickler stellen die Schadsoftware und die Infrastruktur, während sogenannte Affiliates die eigentlichen Angriffe auf Opfernetzwerke durchführen. Die Beute wird geteilt.

Angesichts der rasanten Entwicklung von Erpressersoftware stehen viele Betriebe vor der Herausforderung, ihre IT-Infrastruktur effektiv abzusichern. Dieser Experten-Report enthüllt bewährte Strategien für den Mittelstand, um sich gegen Cyberkriminelle zu wappnen, ohne das Budget zu sprengen. Kostenlosen Cyber-Security-Report herunterladen

In den letzten Monaten haben die Angreifer ihre Aktivitäten massiv ausgeweitet und zielen verstärkt auf Nordamerika, Europa und den asiatisch-pazifischen Raum ab. Ihr Trick: Sie nutzen häufig legitime Fernwartungstools und gestohlene Zugangsdaten, um sich unbemerkt in Systeme einzuschleusen. Die jetzt offengelegten Server- und Kommunikationsstrukturen geben Verteidigern wertvolle Indikatoren, um Angriffe früher zu erkennen und zu stoppen.

Doppelte Erpressung und schnelle Verschlüsselung

Die Gruppe setzt auf doppelte Erpressung. Bevor sie Systeme verschlüsselt, stiehlt sie sensible Daten. Zahlt das Opfer nicht, droht die Veröffentlichung dieser Informationen auf Leak-Seiten im Darknet.

Die Malware selbst arbeitet extrem effizient. Sie nutzt partielle Verschlüsselung – nur Teile einer Datei werden unlesbar gemacht, was den Prozess stark beschleunigt. Zudem löscht sie gezielt Windows-Backups (Volume Shadow Copies) über Systembefehle wie vssadmin, was die Wiederherstellung erschwert. Zum Abtransport der gestohlenen Daten nutzen die Kriminellen legale Tools wie 7-Zip oder Cloud-Dienste wie MegaSync.

Daten zurückholen – ohne zu zahlen

Behörden raten dringend davon ab, Lösegeld zu zahlen. Eine Zahlung finanziert die Kriminellen nur weiter und garantiert keine Entschlüsselung. Die Forderungen bewegen sich oft im sechs- bis siebenstelligen Bereich.

Doch es gibt Hoffnung: Durch operative Fehler der Angreifer konnten bereits einige US-Organisationen ihre Daten ohne Zahlung wiederherstellen, weil Entschlüsselungsschlüssel öffentlich wurden. Moderne, KI-gestützte Sicherheitssysteme bieten einen weiteren Ausweg. Sie erkennen den blitzschnellen Verschlüsselungsprozess in Sekundenbruchteilen und können Dateien aus geschützten Kopien automatisch zurücksetzen, bevor die Malware sie endgültig löscht.

Das Smartphone als schwächstes Glied

Ein zentrales Einfallstor für die Angreifer sind die mobilen Geräte der Mitarbeiter. Kompromittierte VPN- und Remote-Desktop-Zugänge über Smartphones oder Tablets öffnen oft die Tür zum Unternehmensnetzwerk.

Das Risiko ist besonders hoch, wenn keine starke Multi-Faktor-Authentifizierung (MFA) verwendet wird. Ein durch Phishing auf dem privaten Handy gestohlenes Passwort reicht den Angreifern dann aus. Auf kleinen Displays sind betrügerische Links zudem schwerer zu erkennen. Die Behörden betonen: Die Absicherung aller externen Zugänge mit MFA ist keine Option mehr, sondern eine essentielle Verteidigungslinie.

Da mobile Endgeräte zunehmend zum Einfallstor für komplexe Netzwerk-Angriffe werden, ist der private Schutz von WhatsApp und Banking-Apps für Mitarbeiter wichtiger denn je. Dieser Gratis-Ratgeber liefert einfache Schritt-für-Schritt-Anleitungen, um Android-Smartphones effektiv vor Internet-Kriminalität und Datenklau zu schützen. Kostenloses Android-Sicherheitspaket jetzt sichern

Immer neue Varianten derselben Bedrohung

Der Ransomware-Markt ist dynamisch. Der Quellcode der INC-Ransomware wurde bereits Mitte 2024 in Untergrundforen verkauft, was zur Entstehung neuer Varianten wie der Lynx-Ransomware führte.

Sicherheitsforscher sehen diese Varianten als Teil derselben evolutionären Linie. Das hat einen Vorteil: Erkennungsregeln und Wiederherstellungswerkzeuge, die für INC entwickelt wurden, wirken oft auch gegen die neueren Ableger. Die kontinuierliche Beobachtung dieser Entwicklung durch Behörden bleibt daher entscheidend.

Was jetzt zu tun ist

Die Offenlegung der Infrastruktur ist ein Schlag gegen die INC-Gruppe. Experten erwarten, dass die Erpresser ihre Taktiken nun anpassen oder ihre Infrastruktur neu aufbauen müssen.

Für Organisationen bedeutet das: Die Wachsamkeit darf nicht nachlassen. Die Implementierung von Zero-Trust-Architekturen, die rigorose Überprüfung von Zugriffsrechten und die strikte Absicherung aller mobilen Endgeräte sind Pflicht. Nur die Kombination aus modernster, KI-gestützte Verhaltenserkennung und konsequenter Sicherheitshygiene kann die verheerenden Folgen eines Angriffs verhindern.