An ninh mạng

INC Ransomware: Từ nhóm tội phạm mới nổi đến mối đe dọa RaaS hàng đầu năm 2026

Kể từ tháng 8/2023, nhóm tội phạm mạng INC Ransomware đã thực hiện hơn 830 cuộc tấn công, trở thành một trong những mối đe dọa Ransomware-as-a-Service (RaaS) nguy hiểm nhất hiện...

Nguyen Hung
20 Tháng 6, 2026 2 Min Read
1 0

Các nhà nghiên cứu an ninh mạng vừa công bố báo cáo về sự phát triển mạnh mẽ của INC, một nhóm tội phạm mạng hoạt động theo mô hình Ransomware-as-a-Service (RaaS). Kể từ tháng 8/2023, nhóm này đã ghi nhận hơn 830 nạn nhân trên toàn cầu, với hơn 65% mục tiêu nằm tại Hoa Kỳ.

Table Of Content

Sự tiến hóa về kỹ thuật

Theo Darrel Virtusio, chuyên gia tại Acronis, sự suy yếu của các nhóm lớn như LockBit và BlackCat đã tạo điều kiện cho INC mở rộng quy mô. Nhóm này không ngừng nâng cấp công cụ, cụ thể là việc viết lại các encryptor cho Windows và Linux/ESXi bằng ngôn ngữ Rust. Điều này giúp mã độc dễ dàng phát triển đa nền tảng và kháng lại các nỗ lực phân tích ngược (reverse engineering).

Ngoài ra, INC còn sử dụng các công cụ trích xuất thông tin xác thực (credential dumper) được cập nhật để nhắm vào các bản triển khai Veeam backup sử dụng mã hóa DPAPI. Mã nguồn của INC cũng được ghi nhận có sự tương đồng lớn với các dòng ransomware mới xuất hiện như Lynx và Sinobi.

Quy trình tấn công điển hình

INC áp dụng chiến thuật tống tiền kép (double extortion) với chuỗi tấn công tinh vi:

  • Truy cập ban đầu: Khai thác các lỗ hổng trên thiết bị biên như Citrix Netscaler (CVE-2023-3519, CVE-2025-5777), Fortinet EMS (CVE-2023-48788) và SimpleHelp (CVE-2024-57727), hoặc thông qua phishing và mua lại thông tin từ các IAB (Initial Access Brokers).
  • Di chuyển ngang: Sử dụng các công cụ có sẵn (LOLBins) như RDP và PsExec.
  • Vô hiệu hóa phòng thủ: Áp dụng kỹ thuật BYOVD (Bring Your Own Vulnerable Driver) để làm suy yếu hệ thống bảo mật.
  • Kiểm soát và trích xuất: Triển khai Cobalt Strike, AnyDesk, ScreenConnect để điều khiển từ xa và dùng Rclone để đánh cắp dữ liệu trước khi mã hóa.

Mục tiêu và tác động

Các lĩnh vực bị nhắm đến nhiều nhất bao gồm dịch vụ pháp lý, sản xuất, xây dựng, công nghệ và y tế. Đây là những ngành có tính chất vận hành liên tục, nơi thời gian chết (downtime) gây ra áp lực tài chính lớn, buộc nạn nhân phải cân nhắc việc trả tiền chuộc.

Dữ liệu từ ZeroFox xếp INC là nhóm ransomware phổ biến thứ tư trong quý 1 năm 2026. Các chuyên gia cảnh báo rằng việc nhóm này liên tục cải tiến bộ công cụ và nhắm vào các chuỗi cung ứng quan trọng sẽ tiếp tục tạo ra rủi ro lớn cho các doanh nghiệp trong thời gian tới.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept