INC Ransomware: de operação emergente a quarto maior RaaS de 2026 com 830+ vítimas desde 2023

<p>O grupo INC Ransomware consolidou-se como uma das principais ameaças de ransomware como serviço (RaaS) em 2026, tendo acumulado mais de <strong>830 vítimas desde agosto de 2023</strong>, conforme análise publicada pelo The Hacker News em 18 de junho de 2026. Dados compilados pela ZeroFox posicionam o INC como o <strong>quarto grupo mais ativo no primeiro trimestre de 2026</strong>, atrás apenas de Qilin (338 incidentes), Akira (197) e The Gentlemen (192), com mais de 120 ataques no período.</p><h2>Contexto de crescimento</h2><p>O INC acelerou seu crescimento após a desarticulação do LockBit em 2024 e o encerramento do BlackCat, atraindo afiliados que migraram para operações alternativas. Organizações norte-americanas respondem por mais de <strong>65% das vítimas listadas</strong>, com serviços jurídicos, manufatura, construção, tecnologia e saúde entre os setores mais visados.</p><h2>Evolução técnica</h2><p>Os encriptadores para Windows e Linux/ESXi foram reescritos em <strong>Rust</strong>, facilitando o desenvolvimento multiplataforma e dificultando a engenharia reversa. Os ataques agora incluem um <em>credential dumper</em> atualizado capaz de comprometer implantações mais recentes do Veeam Backup, que utilizam criptografia de credenciais DPAPI com salt.</p><h2>Cadeia de ataque</h2><p>O acesso inicial é obtido via spear-phishing direcionado, compra de credenciais de Initial Access Brokers (IABs) e exploração de vulnerabilidades conhecidas em aplicações públicas. Após comprometer o ambiente, os atacantes utilizam ferramentas LOLB (LOLBins) como RDP e PsExec para movimentação lateral, a técnica BYOVD para neutralizar defesas, e o Rclone para exfiltração de dados comprimidos e protegidos por senha.</p>