威胁定位:从新兴团伙到顶级RaaS
INC勒索软件2023年中旬首次现身,到现在不到两年,受害者数量已经超过800。从这条增长曲线来看,它的扩张速度在勒索软件圈子里算是相当快的。
这个团伙走的是RaaS路线——自己开发工具链,招揽affiliate分发,规模化作战。从奇安信威胁情报中心的追踪来看,INC的行业选择有一个清晰逻辑:初期主攻医疗和教育,后期扩展到法律服务、制造、建筑、科技。这些行业的共同特征是受监管压力大、停机成本高,因此支付赎金的意愿也更强。这不是随机扫描的结果。
另一个值得关注的点是INC与Lynx、Knoba之间的代码血缘关系。2024年INC的源码供应商被执法或市场因素中断后,Lynx和Knoba作为衍生家族相继浮出水面,三者之间存在显著的代码重叠。核心代码已经在关联犯罪网络内扩散——这意味着未来出现第四个、第五个衍生家族只是时间问题。
Rust重写:跨平台能力的实质升级
Acronis威胁研究单元最近披露的INC攻击事件里,最值得关注的战术变化是Windows和Linux/ESXi两个平台的加密器都已经用Rust完全重写。
Rust的跨平台编译特性让团伙能用一套代码库同时覆盖Windows桌面/服务器和Linux/ESXi环境,资源效率提升是实打实的。但更重要的影响在防御侧:Rust二进制文件的结构特征和C/C++编译产物差异很大,很多依赖静态签名或启发式特征的旧版安全产品在检测Rust样本时能力明显下降。这不是INC随便换了个语言——背后是对抗检测工程的主动投入。我们在分析样本时也观察到Rust重写后,混淆方式和导入表特征都有明显变化。
Windows加密器:注册表劫持与Veeam定向打击
重写后的Windows加密器对备份系统有一套很精准的打击流程。加密器启动后直接从Windows注册表里提取数据库连接配置,然后通过zero SQL server技术定位Veeam备份部署。这个设计省掉了人工探测备份基础设施的步骤——工具自己完成发现和定位。
针对不同版本的Veeam,INC在加密器里加了fallback encryption routine。我们推测这是因为新版Veeam的加密方式有变化,原版加密路径走不通就会触发备用方案。加密输出格式做了标准化处理,便于自动化解析,这说明工具在实战中经过多轮迭代打磨,不是实验室产物。
Linux/ESXi加密器:VMware基础设施的快速歼灭
Linux/ESXi变种的核心目标是VMware虚拟化基础设施。加密器会先识别活跃卷,区分本地固定磁盘和映射的网络共享,优先处理本地磁盘以最大化加密速度。
这个优先级排序背后是务实的考量:在虚拟化环境中,ESXi主机上所有虚拟机一旦全部加密,受害企业的核心业务系统就会全面停摆,没有缓冲区,没有降级运行的可能。快速歼灭才是INC的策略。
两个平台的加密器都用了基于文件大小的partial encryption策略,同时跳过关键系统文件。这套设计的逻辑很清楚:部分加密能大幅加速整个进程,而主机不能完全瘫痪——赎金通知(INC-README.TXT或INCRSA.README.TXT)需要保持可见,支付链路才能跑通。
加密器支持完整的命令行参数配置,affiliate可以根据目标环境做细粒度调整。
攻击链全景:从边界突破到数据外泄
初始访问阶段,INC及关联affiliate主要依赖已知漏洞进行边界突破。核心入口包括CVE-2023-3519(Citrix NetScaler ADC/Gateway远程代码执行)、CVE-2023-4966(Citrix Bleed,用于凭据窃取)、CVE-2023-35082(SimpleHelp RMM漏洞)以及CVE-2024-4885(WhatsUp Gold远程代码执行)。这四个漏洞覆盖了网络设备、RMM工具、监控系统三类企业网络边界的高暴露面资产。
命令与控制层,CobaltStrike在多起INC归因事件中被使用。作为商业C2框架,它的通信流量能很好地混入正常企业网络活动,基于异常的检测规则很难单独识别。
持久化与横向移动,affiliate大量滥用合法远程访问工具——AnyDesk、ScreenConnect、TeamViewer——建立持久通道。这些工具的白名单身份让网络流量几乎无法通过简单规则匹配识别。横向移动阶段,NETSCAN.EXE被用于内网扫描,摸清可扩展的攻击面。
防御规避,在投放加密器前,affiliate会部署PsKill(既有Sysinternals原版,也有INC定制版本)终止端点EDR/AV进程。这一步是决定性的——如果安全产品没被压制,加密行为会在早期被发现阻断。
凭据窃取与数据外泄,针对新版Veeam中受加盐DPAPI加密保护的凭据,INC使用修改后的脚本进行提取。窃取数据先通过7-Zip压缩,再用rclone上传到攻击者控制的云存储。rclone是合法的命令行云同步工具,出站流量很难与正常云备份操作区分——这是目前整个勒索软件生态都在使用的通用手法。
家族血缘:Lynx与Knoba的代码扩散
INC的代码库在2024年经历了一次供应链中断,但核心代码并没有消失。Lynx和Knoba两个关联家族的出现已经证明了这一点。
对防御方来说,这带来一个实际归因难题:不能仅依赖家族标签判断攻击来源。Lynx、Knoba与INC之间在战术特征、加密算法、赎金通知格式上都高度相似,需要深入分析代码特征和行为模式才能做出准确判断。我们建议企业在进行归因分析时,把样本的代码结构、配置格式、字符串编码方式作为主要特征,而不是依赖勒索信里自报的家族名。
国内影响评估
RaaS模式允许全球范围内的affiliate参与攻击,勒索软件的传播本身也不受地理限制。我们对国内企业的建议是:
- 排查Citrix NetScaler、SimpleHelp、WhatsUp Gold等受影响产品的暴露面,及时打补丁;
- 对所有远程访问入口强制启用多因素认证;
- 部署与生产网络完全隔离的离线备份;
- 监控rclone、7-Zip等合法工具在非预期场景下的异常使用;
- 对PsKill等进程终止工具在端点上的异常执行建立检测规则。
跨境业务机构、使用Citrix或WhatsUp Gold等受影响产品的企业尤其需要关注。
技术附录
MITRE ATT&CK 技术映射
失陷指标(IOC)
利用的漏洞
工具列表
赎金通知文件
- INCRSA.README.TXT
- INC-README.TXT
参考来源
- https://healsecurity.com/inc-ransomware-uses-rust-based-windows-and-linux-esxi-encryptors-in-new-attacks/
- Acronis Threat Research Unit Report(经由Cyber Security News披露)
夜雨聆风