Guida Completa su INC. Ransom: la Nuova Minaccia Informatica

Scopri tutto sulla nuova minaccia informatica INC. Ransom con la nostra guida completa. Analizziamo il modus operandi sofisticato, i metodi di infezione, le note di riscatto e forniamo dettagli sugli indicatori di compromissione. Segui i consigli per affrontare un attacco di INC. Ransom, contattare professionisti, e implementare misure preventive efficaci. Proteggi la tua azienda con le informazioni più recenti sulla sicurezza informatica.
Guida Completa su INC. Ransom

INC. Ransom rappresenta una nuova tipologia di operazioni di ransomware che vanno oltre la semplice cifratura dei dati per il guadagno finanziario. La sua metodologia calcolata, l’ampio campo di azione e l’approccio innovativo all’estorsione rivelano un livello di sofisticatezza con cui le organizzazioni devono confrontarsi nel sempre mutante panorama delle minacce informatiche.

Gli esperti di RecDati raccomandano misure proattive di sicurezza dei dati, come backup regolari, pratiche di sicurezza informatica robuste e mantenere il software aggiornato, per proteggersi dagli attacchi di malware. In caso di attacco informatico, è consigliato contattare immediatamente i nostri esperti di recupero malware.

Cos’è INC. Ransom

INC. Ransom è un avversario formidabile sia per i servizi di sicurezza informatica che per i team IT. Emergendo sulla scena a luglio 2023 come un’operazione spietata di estorsione ransomware, la sua origine risale a un approccio calcolato, posizionandosi come un servizio per le vittime piuttosto che solo come un’entità malintenzionata.

Il modus operandi del ransomware INC. riflette una metodologia sofisticata ed adattabile. Mentre il pagamento del riscatto è un componente centrale, gli operatori intrecciano astutamente la nozione di protezione della reputazione per le vittime. Gli attori minacciosi indicano che il pagamento del riscatto garantirà la reputazione della vittima, evitando l’esposizione dei loro metodi.

Il gruppo minaccioso mostra una mancanza di discriminazione nella scelta dei bersagli, con vittime che spaziano in varie industrie, tra cui sanità, istruzione ed entità governative.

Il metodo di cifratura utilizzato da INC. Ransom è meticoloso e strategico. Il ransomware supporta vari argomenti della riga di comando, consentendo agli attori minacciosi flessibilità nel mirare a file specifici, directory o addirittura condivisioni di rete.

Tutto ciò che sappiamo su INC. Ransom

Nome confermato:

  • INC virus
  • Decryptor INC. Ransom

Tipo di minaccia:

  • Ransomware
  • Crypto virus
  • Blocco file
  • Data leak

Estensione file cifrato:

  • .INC

Nome file ransom note:

  • INC-README.txt
  • INC-README.html
  • Sfondo desktop

Nomi di rilevamento:

  • Avast Win32:RansomX-gen [Ransom]
  • Emsisoft Gen:Heur.Ransom.Imps.1 (B)
  • Kaspersky Trojan-Ransom.Win32.Inc.a
  • Malwarebytes Ransom.IncRansom
  • Microsoft Ransom:Win32/IncRansom.YAA!MTB
  • Sophos Troj/Ransom-GYR

Metodi di distribuzione:

  • Phishing emails
  • Annunci maligni (Malvertising)
  • Kit di exploit
  • Protocollo Desktop Remoto (RDP)

Metodi di infezione ed esecuzione di INC. Ransom

Il gruppo minaccioso INC. Ransom è un nuovo gruppo di ransomware che si differenzia per metodologia e tecniche dalla maggior parte dei ransomware. Ecco i passaggi che vanno dall’accesso iniziale alla cifratura e alla comunicazione con le vittime.

1. Accesso iniziale: INC. Ransom utilizza diversi metodi per ottenere l’accesso iniziale alle sue vittime. Tra questi, le email di spear-phishing servono come vettore comune, sfruttando le vulnerabilità umane per indurre le persone a fare clic su link malevoli o scaricare allegati infetti.

Inoltre, si sono osservati casi di sfruttamento di vulnerabilità, come l’utilizzo di CVE-2023-3519 in Citrix NetScaler, dimostrando un approccio tecnico all’accesso iniziale.

2. Ricognizione interna e spostamento laterale: Una volta all’interno dell’ambiente della vittima, INC. Ransom inizia un meticoloso processo di ricognizione interna e spostamento laterale.

Gli attori minacciosi utilizzano un toolkit diversificato che consente loro di navigare nella rete della vittima, identificando bersagli preziosi per la cifratura.

Gli strumenti sono utilizzati in applicazioni come:

  • NETSCAN.EXE: Uno scanner e profiler di rete multi-protocollo.
  • MEGAsyncSetup64.EXE: Applicazione desktop associata a MEGA, un servizio di archiviazione cloud e condivisione di file.
  • ESENTUTL.EXE: Utility Microsoft per la gestione e il ripristino del database.
  • AnyDesk.exe: Applicazione di gestione remota e desktop remoto.

3. Distribuzione del Payload e Cifratura: I payloads sono componenti o software malevoli che eseguono azioni specifiche, come l’accesso non autorizzato, la cifratura dei dati o la manipolazione del sistema, sul computer o sulla rete della vittima.

I payloads di INC. Ransom supportano vari argomenti della riga di comando, offrendo un approccio flessibile al mirare a file e directory specifiche.

4. Eliminazione delle Copie di Shadow del Volume: Per consolidare ulteriormente la presa sui dati della vittima, INC. Ransom tenta di eliminare le Copie di Shadow del Volume (VSS). Sebbene non sempre riproducibile, questo comportamento indica il tentativo del ransomware di eliminare possibili vie per il recupero dei dati, aumentando la pressione sulla vittima per soddisfare le richieste di riscatto.

5. Deposizione della Nota di Riscatto: Dopo aver cifrato i file, il ransomware INC. lascia un segno distintivo depositando note di riscatto in ogni cartella cifrata. Queste note, nei formati .TXT e .HTML (“INC-README.TXT” e “INC-README.HTML”), contengono istruzioni per la vittima.

Indicatori di Compromissione (IOCs) di INC. Ransom

Gli Indicatori di Compromissione (IOCs) sono artefatti osservati su una rete o in un sistema operativo che indicano una violazione informatica con elevata sicurezza. Gli IOCs possono essere utilizzati per la rilevazione precoce di futuri tentativi di attacco utilizzando sistemi di rilevamento delle intrusioni e software antivirus.

Gli IOCs specifici di INC. Ransom includono:

  • Hash del file (Binario del ransomware):
    • SHA256: fcefe50ed02c8d315272a94f860451bfd3d86fa6ffac215e69dfa26a7a5deced
  • Nomi dei file di nota di riscatto:
    • INC-README.TXT
    • INC-README.HTML
  • Uscita della nota di riscatto stampata:
    • INC. ransomware può stampare note di riscatto su stampanti o fax collegati ed accessibili. Ogni lavoro di stampa inaspettato o non autorizzato dovrebbe essere investigato.

Nota di Riscatto di INC. Ransom

La nota di riscatto di INC. Ransom è un componente cruciale nell’operazione di estorsione del ransomware, trasmettendo le richieste e le istruzioni degli attori minacciosi alla vittima.

La nota suggerisce che pagare il riscatto non è solo un modo per recuperare i dati cifrati, ma è posizionato come un metodo per “salvare la propria reputazione”. Paradossalmente, gli aggressori affermano che aderendo alle richieste di riscatto, l’ambiente della vittima diventerebbe “più sicuro” grazie alla divulgazione dei loro metodi.

Le vittime vengono assegnate a ciascuna nota di riscatto un ID personale, che devono utilizzare al momento della visita al portale di pagamento basato su TOR per la comunicazione con gli aggressori.

Testo della Nota di Riscatto di INC. Ransom:

lessCopy code

Inc. Ransomware Abbiamo hackerato voi e scaricato tutti i dati confidenziali della vostra azienda e dei suoi clienti. Possono essere diffusi tra persone e media. La vostra reputazione sarà rovinata. Non esitate e salvate la vostra attività. Per favore, contattateci tramite: - Il vostro ID personale: - Siamo quelli che possono recuperare rapidamente i vostri sistemi senza perdite. Non cercate di svalutare il nostro strumento - non ne verrà fuori nulla. Da ora avete 72 ore per contattarci se non volete che i vostri dati sensibili vengano pubblicati sul nostro blog: - Dovreste essere informati, nella nostra attività la reputazione è una condizione basilare per il successo. Inc offre un accordo. Dopo trattative di successo vi sarà fornito: 1. Assistenza alla decrittazione; 2. Accesso iniziale; 3. Come proteggere la vostra rete; 4. Prove della cancellazione di documenti interni; 5. Garanzie di non attaccarvi in futuro.

Come Gestire un Attacco di INC. Ransom

Il primo passo per riprendersi da un attacco ransomware di INC. è isolare il computer infetto scollegandolo da Internet e rimuovendo ogni dispositivo collegato. Successivamente, è necessario contattare le autorità locali o, nel caso di residenti e aziende negli Stati Uniti, l’FBI e l’Internet Crime Complaint Centre (IC3).

Per segnalare un attacco di malware, è necessario raccogliere tutte le informazioni possibili, inclusi:

  • Screenshots della nota di riscatto
  • Comunicazioni con gli attori minacciosi (se disponibili)
  • Un esempio di file cifrato

Tuttavia, se si preferisce contattare professionisti, è meglio lasciare ogni macchina infetta com’è e chiedere un servizio di rimozione ransomware d’emergenza. Questi professionisti sono attrezzati per mitigare rapidamente i danni, raccogliere prove, potenzialmente invertire la cifratura e ripristinare il sistema.

Il riavvio o lo spegnimento del sistema potrebbe compromettere il servizio di recupero. La cattura della RAM di un sistema in esecuzione può aiutare ad ottenere la chiave di cifratura, e catturare un file dropper, ovvero il file che esegue il payload dannoso, potrebbe essere analizzato al contrario e portare alla decrittazione dei dati o alla comprensione di come opera.

Non è consigliato eliminare il ransomware e conservare ogni evidenza dell’attacco. Questo è importante per gli esperti di informatica forense per risalire al gruppo di hacker e identificarli. L’indagine di un attacco informatico non è diversa da qualsiasi altra indagine criminale: ha bisogno di prove per trovare gli attaccanti.

1. Contattare il proprio fornitore di risposta agli incidenti: La risposta agli incidenti informatici è il processo di risposta e gestione di un incidente di sicurezza informatica. Un contratto di risposta agli incidenti è un accordo di servizio con un provider di sicurezza informatica che consente alle organizzazioni di ottenere assistenza esterna in caso di incidenti di sicurezza informatica. Fornisce alle organizzazioni una forma strutturata di competenza e supporto attraverso un partner di sicurezza, consentendo loro di rispondere rapidamente ed efficacemente durante un incidente informatico.

Un contratto di risposta agli incidenti offre tranquillità alle organizzazioni, offrendo supporto esperto prima e dopo un incidente di sicurezza informatica. La natura e la struttura specifiche di un contratto di risposta agli incidenti varieranno in base al provider e alle esigenze dell’organizzazione. Un buon contratto di risposta agli incidenti dovrebbe essere robusto ma flessibile, offrendo servizi comprovati per migliorare la postura di sicurezza a lungo termine dell’organizzazione.

Se si contatta il proprio fornitore di risposta agli incidenti, possono intervenire immediatamente e guidare attraverso ogni passo nel recupero del ransomware. Tuttavia, se si decide di rimuovere il malware da soli e ripristinare i file con il proprio team IT, è possibile seguire i passaggi successivi.

2. Usare un backup per ripristinare i dati: L’importanza del backup per il recupero dei dati non può essere sottovalutata, specialmente nel contesto di vari rischi e minacce potenziali all’integrità dei dati.

I backup sono un componente critico di una strategia completa di protezione dei dati. Forniscono un mezzo per recuperare da una varietà di minacce, garantendo la continuità delle operazioni e la conservazione delle informazioni preziose. Di fronte agli attacchi ransomware, dove il software malevolo cifra i dati e richiede un pagamento per il loro rilascio, avere un backup consente di ripristinare le informazioni senza cedere alle richieste dell’attaccante.

Assicurarsi di testare regolarmente e aggiornare le procedure di backup per migliorarne l’efficacia nella salvaguardia contro potenziali scenari di perdita di dati. Esistono diversi modi per effettuare un backup, quindi è necessario scegliere il mezzo di backup giusto e avere almeno una copia dei dati memorizzata in un luogo esterno e offline.

3. Contattare un servizio di recupero malware: Se non si dispone di un backup o si ha bisogno di aiuto per rimuovere il malware ed eliminare le vulnerabilità, è possibile contattare un servizio di recupero dati. Pagare il riscatto non garantisce che i dati verranno restituiti. L’unico modo garantito per ripristinare ogni file è avere un backup. Se non ne si dispone, i servizi di recupero dati ransomware possono aiutare a decifrare e recuperare i file.

Gli esperti di RecDati possono ripristinare in modo sicuro i file e impedire a INC. Ransom di attaccare nuovamente la rete. Contattate i nostri esperti di recupero 24/7.

Come Prevenire l’Attacco di INC. Ransom

Prevenire i malware è la soluzione migliore per la sicurezza dei dati ed è più facile e conveniente che recuperare da essi. INC. Ransomware può compromettere il futuro della vostra azienda e persino chiudere le porte.

Ecco alcuni suggerimenti per evitare attacchi malware:

  • Mantenete il vostro sistema operativo e il software aggiornati con gli ultimi patch e aggiornamenti di sicurezza. Ciò può aiutare a prevenire vulnerabilità che possono essere sfruttate dagli attaccanti.
  • Utilizzate password robuste e uniche per tutti gli account e attivate l’autenticazione a due fattori quando possibile. Ciò può impedire agli attaccanti di accedere ai vostri account.
  • Fate attenzione alle email, link e allegati sospetti. Non aprite email o cliccate su link o allegati da fonti sconosciute o sospette.
  • Utilizzate software antivirus e anti-malware affidabili e teneteli aggiornati. Ciò può aiutare a rilevare e rimuovere il malware prima che possa causare danni.
  • Utilizzate un firewall per bloccare l’accesso non autorizzato alla vostra rete e ai sistemi.
  • Suddivisione della rete per dividere una rete più grande in sotto-reti più piccole con limitata interconnessione tra di esse. Limita il movimento laterale dell’attaccante e impedisce agli utenti non autorizzati di accedere alla proprietà intellettuale e ai dati dell’organizzazione.
  • Limitate i privilegi degli utenti per impedire agli attaccanti di accedere a dati e sistemi sensibili.
  • Formate i dipendenti e il personale su come riconoscere ed evitare email di phishing e altri attacchi di ingegneria sociale.
Luca Rossi

Luca Rossi

Esperto appassionato di informatica, con una specializzazione nel campo del recupero dati e della sicurezza digitale. Da diversi anni contribuisco come content creator presso RecDati.

Ti potrebbe interessare anche...

Il Futuro delle Tecnologie di Archiviazione Dati - Cosa Aspettarci nel 2025

Il Futuro delle Tecnologie di Archiviazione Dati – Cosa Aspettarci nel 2025

Esplora il futuro delle tecnologie di archiviazione dati, da innovazioni basate su DNA e tecnologie quantistiche, fino a soluzioni avanzate come l’archiviazione su cristalli ottici. Scopri come queste tendenze stanno ridefinendo la gestione e la sicurezza dei dati, aprendo prospettive rivoluzionarie per l’archiviazione dell’informazione.

Come evitare la perdita dei dati: Consigli utili per i fotografi

Come evitare la perdita dei dati: Consigli utili per i fotografi

Proteggi le tue preziose fotografie da perdite di dati con i nostri consigli chiave per la prevenzione della perdita di dati per fotografi. Scopri come eseguire backup regolari, utilizzare schede di memoria affidabili e adottare strategie di crittografia per garantire la sicurezza delle tue immagini. Segui la regola del backup 3-2-1 e pianifica il recupero dati in anticipo per una tranquillità duratura.

RAID 10 Definizione, come funziona e perché Utilizzarlo.jpg

RAID 10: Definizione e Motivi per Utilizzarlo

Scopri tutto sulla tecnologia RAID 10: una soluzione avanzata di archiviazione dati che combina mirroring e striping per garantire sicurezza e efficienza. Con vantaggi come la protezione dei dati tramite mirroring e ridondanza completa, il RAID 10 è ideale per scopi I/O-intensivi. Tuttavia, considera anche i costi e la capacità effettiva prima di scegliere questa configurazione

Hard Disk Esterno Seagate non Funzionante su Windows 11

[Risolto] Hard Disk Esterno Seagate non Funzionante su Windows 11

Risolvi il problema del tuo hard disk esterno Seagate non funzionante su Windows con questa guida rapida. Esplora soluzioni pratiche per recuperare i dati e ripristinare la funzionalità del tuo dispositivo di archiviazione. Dalle verifiche dei collegamenti hardware agli aggiornamenti dei driver, scopri come affrontare efficacemente le sfide e riportare in vita il tuo hard disk esterno Seagate.

Requisiti per RAID 5 - Configurazione e Prestazioni

Requisiti per RAID 5: Configurazione e Prestazioni

Scopri tutti i dettagli sui requisiti e le prestazioni del RAID 5, una configurazione di storage dati avanzata. Dal numero minimo di dischi alle considerazioni sulla velocità e alla tolleranza ai guasti, esplora come ottimizzare al meglio un sistema RAID 5. Confronta le opzioni di controller hardware, le capacità di archiviazione e le differenze con altre configurazioni RAID.