Grupa ransomware INC, działająca w modelu RaaS od sierpnia 2023 roku, skompromitowała ponad 830 organizacji, stając się jednym z najaktywniejszych ugrupowań cyberprzestępczych w 2026 roku. Dynamiczny wzrost był możliwy między innymi dzięki likwidacji konkurencyjnych operacji LockBit i BlackCat, których afilianci przenieśli się do INC wraz z doświadczeniem, narzędziami i listami celów. Dla firm B2B oznacza to, że zagrożenie ransomware nie maleje – zmienia tylko etykietę operatora.
Profil grupy INC i model RaaS
INC działa jak typowy ransomware-as-a-service: rdzeń grupy rozwija malware, infrastrukturę C2 i panel afiliacyjny, a partnerzy (afilianci) przeprowadzają ataki, zachowując procent okupu. Grupa stosuje double extortion – szyfrowanie danych plus groźba publikacji skradzionych plików w leak site. Ofiary obejmują produkcję, usługi profesjonalne, healthcare i MSP – sektory B2B o wysokiej wartości danych i presji czasu na odzyskanie operacji.
Migracja afiliantów LockBit i BlackCat do INC oznacza, że doświadczeni operatorzy ataków wykorzystują sprawdzone TTP: inicjalny dostęp przez VPN, RDP, phishing lub exploity na edge devices, lateral movement przez Active Directory, exfiltracja przed szyfrowaniem, wyłączenie backupów i shadow copies.
Prioritety obronne dla organizacji B2B
- Backup 3-2-1 z immutability – kopie offline/niezmienialne niedostępne z domeny AD.
- Segmentacja sieci – ograniczenie lateral movement między VLAN i do serwerów plików.
- ITDR i MFA – ochrona tożsamości, szczególnie kont admin i service accounts.
- Plan reagowania – ćwiczone procedury bez płacenia okupu jako domyślnej opcji.
Reagowanie na incydent INC
Po wykryciu szyfrowania: natychmiastowa izolacja dotkniętych segmentów, identyfikacja wektora wejścia, powiadomienie CSIRT i ewentualnie organów ścigania, ocena zakresu exfiltracji pod kątem RODO. Organizacje powinny mieć przygotowane kontakty do firm forensic i ubezpieczyciela cyber. Płacenie okupu nie gwarantuje odzyskania danych i finansuje dalszą działalność grupy.
Partnerzy oferujący infrastrukturę IT z warstwą backup i disaster recovery projektują architektury odporne na ransomware – air-gapped backup, testy restore co kwartał, runbook recovery bez domain admin credentials na serwerze backup.
Negocjacje i komunikacja kryzysowa
INC stosuje presję czasową i publikację próbek danych przed deadline okupu. Organizacja powinna mieć przygotowany crisis comm plan: kto komunikuje się z klientami, mediami i pracownikami, jakie kanały, jakie kluczowe message. Legal ocenia zgodność płatności okupu z sankcjami i polityką firmy.
Ubezpieczenie cyber może pokryć część kosztów IR i odszkodowań – warunkiem jest udokumentowana baseline security przed incydentem.
Kontekst regulacyjny i raportowanie
Incydenty omawiane w tym artykule mogą wymagać oceny pod kątem RODO, NIS2 i branżowych regulacji. Organizacje powinny utrzymywać aktualny rejestr przetwarzania, procedurę oceny ryzyka naruszenia i kontakty do zespołu IR dostępne 24/7. Dokumentacja timeline incydentu – od wykrycia po remediację – jest kluczowa przy post-audit i rozmowach z ubezpieczycielem cyber.
Zalecamy coroczne ćwiczenia tabletop z udziałem zarządu, IT, legal i PR. Scenariusze powinny obejmować wyciek danych, ransomware i kompromitację łańcucha dostaw SaaS.
Długoterminowa strategia cyberodporności
Pojedyncza remediacja po incydencie nie buduje odporności organizacji. Inwestycja w defense-in-depth, ciągłe szkolenia użytkowników, threat intelligence i partnerstwo z wyspecjalizowanym dostawcą usług IT dla firm pozwala skrócić mean time to detect i mean time to respond.
Praktyczne kroki na najbliższe 30 dni
W ciągu pierwszego tygodnia: inwentaryzacja dotkniętych systemów, rotacja poświadczeń i wdrożenie dostępnych łatek. W drugim tygodniu: testy detekcji, aktualizacja playbooków IR i szkolenie kluczowych użytkowników. W trzecim i czwartym tygodniu: audyt kompensujących kontroli, raport dla zarządu i plan długoterminowej remediacji architektury. Każdy krok powinien mieć właściciela, deadline i mierzalny outcome.
Zespoły bez wewnętrznych zasobów security mogą zaangażować zewnętrznego partnera do acceleracji remediacji – typowy engagement trwa 2–6 tygodni i obejmuje assessment, hardening oraz przekazanie runbooków zespołowi IT klienta. AbejaIT wspiera organizacje B2B na każdym etapie – od szybkiej oceny ekspozycji po wdrożenie trwałych kontroli bezpieczeństwa.
Współpraca z partnerem technologicznym
Wiele organizacji B2B nie ma wystarczających zasobów wewnętrznych, aby samodzielnie utrzymać pełen program bezpieczeństwa – od threat intelligence po 24/7 SOC. Współpraca z doświadczonym dostawcą usług IT pozwala skrócić czas wdrożenia kontroli, uniknąć typowych błędów konfiguracyjnych i utrzymać ciągłość wiedzy nawet przy rotacji pracowników wewnętrznych. Model współpracy powinien jasno definiować SLA, zakres odpowiedzialności i procedurę eskalacji incydentów.
AbejaIT wspiera firmy w audytach bezpieczeństwa, hardeningu infrastruktury, wdrożeniach rozwiązań AI z governance oraz długoterminowym utrzymaniu środowisk produkcyjnych. Każdy engagement rozpoczynamy od assessmentu dojrzałości i priorytetyzacji quick wins – działań dających największą redukcję ryzyka w najkrótszym czasie.
Metryki sukcesu programu bezpieczeństwa
Skuteczny program cyberbezpieczeństwa mierzy MTTD (mean time to detect), MTTR (mean time to respond), liczbę critical findings po audycie, coverage backupów immutable oraz wynik phishing simulation. Dashboard prezentowany zarządowi co kwartał powinien pokazywać trend – nie tylko absolutne wartości. Cele powinny być realistyczne: np. skrócenie MTTR o 20% rok do roku, 100% coverage MFA na kontach admin, zero critical CVE na exposed services po 72h od publikacji.
Podsumowanie
INC Ransomware to przypomnienie, że ekosystem RaaS szybko reorganizuje się po disruption konkurencji. Firmy B2B muszą traktować backup, segmentację i IR jako inwestycję obowiązkową, nie opcjonalną. Zapraszamy do audytu odporności na ransomware w ramach usług IT dla firm.
Źródło: The Hacker News