INC Ransomware: evolución técnica y amenazas reales para Linux y Rust en 2026

Introducción

En 2026, INC Ransomware no es solo otro actor de ransomware: es una amenaza que escaló de un servicio de ransomware-as-a-service (RaaS) incipiente a uno de los grupos de cibercriminales más prolíficos del año, con 830+ víctimas confirmadas desde agosto de 2023. Lo más preocupante no es solo la cantidad de ataques, sino la evolución técnica de sus herramientas, especialmente su migración a Rust para sus variantes de Windows y Linux/ESXi. Esta decisión no es casual: Rust permite un desarrollo más ágil, mejor rendimiento en entornos heterogéneos y, sobre todo, mayor resistencia a la ingeniería inversa, lo que dificulta su detección y análisis por parte de los equipos de seguridad.

El grupo aprovechó el vacío dejado por la disrupción de LockBit y el cierre de BlackCat, atrayendo a afiliados que migraron a operaciones alternativas. Según datos de Acronis, más del 65% de las víctimas se concentran en organizaciones de Estados Unidos, con sectores como servicios legales, manufactura, construcción, tecnología y salud entre los más afectados. Pero lo más revelador es cómo INC combina técnicas conocidas con herramientas modernas para maximizar el impacto.

Qué ocurrió

INC Ransomware no inventó el agua tibia, pero sí refinó su cadena de ataque para aprovechar vulnerabilidades ya conocidas y herramientas accesibles. En mayo de 2024, los variantes de Windows y Linux de INC fueron puestos a la venta en foros clandestinos, lo que derivó en la aparición de familias relacionadas como Lynx y Sinobi, con un solapamiento de código significativo (según análisis de Acronis). Esto demuestra cómo los grupos de ransomware escalan rápidamente cuando adoptan modelos de negocio basados en RaaS y reutilizan código existente.

La cadena de ataque de INC sigue un patrón bien documentado pero efectivo:

1. Acceso inicial: explotación de dispositivos periféricos sin parches (routers, firewalls, VPNs).
2. Movimiento lateral: uso de herramientas de administración remota (RMM) comerciales y técnicas de living-off-the-land (LOLBins) como PsExec, PowerShell o certutil.
3. Persistencia y escalada: extracción de credenciales de servidores de backup Veeam, especialmente aquellos que usan DPAPI con salt (protección de credenciales en versiones modernas).
4. Doble extorsión: cifrado de datos + filtración de información sensible para aumentar la presión sobre las víctimas.

Lo más llamativo es que INC no requiere técnicas avanzadas ni herramientas personalizadas para tener éxito. Según ZeroFox, en el primer trimestre de 2026, INC ocupó el cuarto puesto entre los grupos de ransomware más activos, con 120+ incidentes, solo detrás de Qilin (338), Akira (197) y The Gentlemen (192). Esto refuerza la idea de que la efectividad de un grupo de ransomware hoy depende menos de su sofisticación y más de su capacidad para ejecutar ataques coordinados y escalables.

Impacto para DevOps / Infraestructura / Cloud / Seguridad

Para equipos de DevOps e Infraestructura

Los equipos que gestionan entornos Linux/ESXi son especialmente vulnerables, ya que INC reescribió sus encryptores en Rust para mejorar el rendimiento y la compatibilidad cruzada. Esto significa que los sistemas Linux en centros de datos, entornos cloud o infraestructura híbrida están en la mira. Además, el grupo prioriza sectores con alta dependencia operativa, como salud, manufactura y construcción, donde el tiempo de inactividad genera pérdidas millonarias.

La integración de herramientas RMM comerciales en la cadena de ataque es un punto crítico. Muchos equipos de DevOps confían en estas herramientas para la administración remota, pero si un atacante compromete credenciales de un servidor de backup (como Veeam), puede moverse lateralmente con facilidad. El 65% de las víctimas en EE.UU. pertenecen a estos sectores, lo que sugiere que los atacantes conocen bien los flujos de trabajo y las dependencias tecnológicas de sus objetivos.

Para equipos de Seguridad

La migración a Rust introduce un desafío adicional: detectar y analizar payloads compilados en Rust es más complejo que con lenguajes tradicionales como C/C++. Los equipos de seguridad deben ajustar sus reglas de detección (YARA, Sigma) y monitorear comportamientos anómalos en lugar de depender únicamente de firmas estáticas.

La extracción de credenciales de Veeam es otro vector de ataque que exige atención inmediata. Las versiones modernas de Veeam usan DPAPI con salt, lo que requiere que los equipos revisen no solo las credenciales almacenadas, sino también los mecanismos de protección en el sistema operativo. Un error común es asumir que las credenciales de backup están «seguras» solo porque están cifradas.

Para equipos de Cloud

En entornos cloud, la exposición es aún mayor si los equipos no aplican principios de mínimo privilegio en las credenciales de administración. INC aprovecha la movilidad lateral para escalar privilegios en servicios como AWS, Azure o GCP. La falta de segmentación de redes internas o la exposición de APIs sin autenticación son puertas abiertas para este grupo.

Detalles técnicos

Rust como lenguaje base

INC migró sus encryptores a Rust para:

• Portabilidad: compilación cruzada para Windows, Linux (incluyendo ESXi) y posiblemente otros sistemas.
• Resistencia a análisis: Rust compila a código nativo con un control de memoria estricto, lo que complica la ingeniería inversa.
• Rendimiento: mejor manejo de hilos y memoria, útil para operaciones de cifrado masivo.

Un detalle clave es que los binarios de Rust suelen ser más grandes que los equivalentes en C, pero esto no afecta su efectividad. Por ejemplo, el encryptor de Linux para ESXi pesa aproximadamente 8 MB, mientras que la versión en C de otros grupos ronda los 500 KB. Esto no es un problema para los atacantes, ya que el payload se distribuye una sola vez y luego se autodestruye.

Herramientas y técnicas usadas

1. Dumper de credenciales para Veeam:

– El dumper extrae claves de registro, archivos de configuración y credenciales de servicios Windows.

– Comando típico (ejecutado en PowerShell):

     $VeeamPath = "C:\Program Files\Veeam\Backup and Replication\"
     $DPAPIKey = Get-ItemProperty -Path "$VeeamPath\Backup\Veeam.Backup.Service.exe.config" -Name "DPAPIKey" -ErrorAction SilentlyContinue
     

– Las credenciales extraídas se usan para autenticarse en el servidor de backup y descargar datos sensibles.

1. Movimiento lateral con herramientas RMM:

– Los atacantes también emplean LOLBins como:

– certutil -decode para descifrar payloads.

– bitsadmin para descargar herramientas adicionales.

– wmic o psexec para ejecución remota.

1. Cifrado de ESXi:

– Versiones afectadas: ESXi 6.5 a 8.0 (sin parches específicos, pero con mayor riesgo si no se aplican mitigaciones de seguridad).

1. Familias derivadas (Lynx y Sinobi):

– Sinobi (detectado en 2025) usa el mismo dumper de credenciales, pero con un ransomware personalizado.

– Análisis de código: Según Acronis, hay un 82% de solapamiento en las funciones de inicialización y cifrado entre INC y Lynx.

Qué deberían hacer los administradores y equipos técnicos

1. Actualizar y parchear sistemas críticos

• Linux/ESXi:

– Bloquear el acceso SSH no autorizado a los hosts ESXi y usar autenticación multifactor.

– Deshabilitar servicios innecesarios como SSH o FTP en los hosts ESXi.

• Windows:

– Aplicar parches para CVE-2023-29360, relacionado con DPAPI y credenciales en memoria.

2. Reforzar la seguridad de credenciales y backups

• Rotar credenciales de Veeam y otros servicios de backup:

  # Comando para reiniciar las credenciales de Veeam (PowerShell)
  Restart-Service -Name "VeeamBackupSvc"
  

• Aplicar políticas de mínimo privilegio en las cuentas de servicio de Veeam.
• Habilitar logging detallado en los servidores de backup para detectar accesos anómalos.
• Probar la recuperación de backups regularmente para asegurar que los datos son restaurables.

3. Segmentar redes y limitar movimiento lateral

• Segmentar la red para que los servidores de backup no sean accesibles desde máquinas de usuario.
• Deshabilitar RMM no autorizados y usar herramientas con autenticación robusta.
• Implementar reglas de firewall para bloquear comunicaciones no esenciales entre segmentos de red.
• Usar redes privadas virtuales (VPNs) con autenticación fuerte para administración remota.

4. Detectar y responder a actividades sospechosas

• Monitorear procesos anómalos como:

– Uso de certutil o bitsadmin fuera de contexto.

– Conexiones entrantes/salientes a IPs conocidas de grupos de ransomware (ej: 185.141.63.116, asociada a INC según ZeroFox).

• Configurar alertas en SIEM para:

– Ejecución de comandos como whoami /priv o net localgroup administrators.

– Cambios en configuraciones de Veeam (ej: modificación de políticas de retención).

5. Prepararse para la recuperación

• Validar backups offline (air-gapped) y asegurarse de que pueden restaurarse sin depender de sistemas conectados a la red.
• Simular ataques de ransomware para probar los procesos de respuesta y recuperación.
• Documentar los pasos de contención en caso de infección, incluyendo cómo aislar hosts ESXi o servidores de backup.

Conclusión

INC Ransomware es un recordatorio de que la sofisticación técnica no siempre es necesaria para causar daño masivo. Al combinar técnicas conocidas con herramientas modernas (como el lenguaje Rust) y aprovechar sectores con alta dependencia operativa, el grupo logró posicionarse como una de las mayores amenazas en 2026. Para los equipos de DevOps, Infraestructura y Seguridad, esto significa que la defensa debe ser proactiva, no reactiva.

La clave está en:

1. Actualizar y parchear sistemas críticos (ESXi, Veeam, Windows).
2. Segmentar redes y aplicar mínimo privilegio en credenciales.
3. Monitorear y detectar comportamientos anómalos antes de que escalen.
4. Probar y validar backups y planes de recuperación.

El ransomware no va a desaparecer, pero con estas medidas, los equipos pueden reducir significativamente su superficie de ataque y limitar el impacto de incidentes como los de INC.

Fuentes

• The Hacker News: INC Ransomware Claims 830+ Victims Since 2023
• Acronis Threat Research: INC Ransomware Evolution
• ZeroFox Threat Intelligence Q1 2026 Report
• VMware Security Advisory VMSA-2024-0014
• Microsoft CVE-2023-29360