Skip to content

Az Inc Ransom támadásainak hálózata: Áldozatok és összefüggések

Milyen áldozatokat választ az Inc Ransom csoport, és ez mit árul el a stratégiájukról? Elemzésünk az időbeli, földrajzi és szektorális eloszlások alapján kínál betekintést a támadások természetébe.

Az Inc Ransom csoport egy gyorsan növekvő, globális fenyegetést jelentő, kettős zsarolási módszert alkalmazó ransomware szervezet, amely a kritikus infrastruktúrák és érzékeny adatok elleni célzott támadások révén vált ismertté.
A magyar állam tulajdonában álló Védelmi Beszerzési Ügynökséget szintén az INC Ransom csoport támadta és zsarolta meg 2024. októberében. Az incidensről, valamint az Inc Ransom csoportról és az általa alkalmazott támadási módszerekről már volt szó korábbi cikkeinkben is.
Jelen cikkünk célja, hogy az Inc Ransom csoport eddig ismert áldozatainak vizsgálataával bemutassuk az Inc Ransom tevékenységének lehetséges szélesebb körű hatásait, valamint rávilágítsunk az áldozatok közötti lehetséges kapcsolatokra.


Az Inc Ransom áldozatai

Az Inc Ransom csoport eddig 184 áldozatáról publikált információkat a darkweben elérhető blogján. A közzétett általános információk alapján ismert az áldozatok neve és működési székhelyük országa (1 áldozat kivételével), valamint beazonosíthatóak az áldozatok tevékenységi körei. Mik állapíthatók meg ezekből az adatokból?

Az Inc Ransom publikálásainak időbeli eloszlása

Az Inc Ransom csoport által üzemeltett portálon az áldozatok publikálásának időpontja ismerhető meg, a támadások pontos időpontjai nem. A támadások időpontja ugyanakkor a publikálás dátumából 1-2 hetes pontossággal megbecsülhető. Ennek oka, hogy a publikálás a sikeres titkosítás után jellemzően 2-4 héttel történik meg, miután az áldozatnak nem sikerült megállapodnia a kiberbűnözőkkel, akik így próbálnak további nyomást gyakorolni az áldozatra, hogy az fizessen azért (is), hogy ne kerüljenek nyilvánosságra további ellopott fájlok is.
(Támadás alatt jelen esetben a ransomware aktiválódását értjük. Az áldozat rendszerébe való bejutás az egy másik történet és annak időpontja nem határozható meg ennyi adatból.)

Megállapítások az időbeli eloszlások alapján:

  • A havi trendek elemzése alapján az Inc Ransom aktivitása egyes időszakokban jelentősen megnövekedett, különösen bizonyos hónapokban. Ez arra utalhat, hogy az Inc Ransom a szezonalitást (amikor az IT rendszerek kevésbé védettek) és/vagy az aktuális sérülékenységeket kihasználva támad.
  • Az intenzív időszakokban több áldozat is érintett volt ugyanabban szektorban vagy országban, rámutatva arra, hogy a támadók ekkor célzottabb kampányokat hajtottak végre.
  • Hosszabb szünetek: Az időszakos szünetek arra utalhatnak, hogy a csoport új támadási célpontokat keresett, vagy belső operatív tevékenységeket (pl. infrastruktúra frissítése, új eszközök beszerzése) hajtott végre.

Jelentős sérülékenységek az érintett időszakban

A ransomware csoportok, beleértve az Inc Ransom csoportot is, a rendszerekbe való bejutáshoz jellemzően a tűzfalak, távoli hozzéférések, illetve a webes alkalmazások sérülékenységeit, konfigurációs hibáit használják ki.

Az Inc Ransom csoport 2023 augusztusa óta aktív, ami alapján legnagyobb valószínűséggel az alábbi sérülékenységeket használhatták ki az áldozatok rendszereibe való bejutáshoz:

This post is for subscribers only

Subscribe

Already have an account? Sign In

Latest

2024-117: Zero-Day Vulnerabilities in Palo Alto Networks PAN-OS

2024-117: Zero-Day Vulnerabilities in Palo Alto Networks PAN-OS

Palo Alto Networks released security updates for two actively exploited zero-day vulnerabilities in Palo Alto Networks PAN-OS. If exploited, these vulnerabilities could allow a remote unauthenticated attacker to gain administrator privileges, or a PAN-OS administrator to perform actions on the firewall with root privileges. It recommended applying the updates and

Members Public
Modern zsarolóvírusok

Modern zsarolóvírusok

A Magyar Védelmi Beszerzési Ügnynökséget az INC Ransom csoport támadta és zsarolta meg 2024. októberében. Az elmúlt időszakban megszaporodtak azok a magyarországi zsarolóvírus támadások, amelyek során az INC és a vele csaknem 71%-ban azonos Lynx zsarolóvírusokat használták a támadók.

Members Public