Il 17 giugno 2026 il Threat Research Unit di Acronis ha diffuso una fotografia insolita del panorama ransomware globale: INC, gruppo attivo dal 2023, è entrato nella top 5 mondiale di ZeroFox con 124 incidenti nel primo trimestre 2026. La sorpresa non è la posizione, ma il metodo — nessun exploit zero-day, nessuna vulnerabilità proprietaria, solo una macchina operativa che trasforma tecniche d'intrusione consolidate in centinaia di vittime.
- INC ha rivendicato oltre 800 vittime dal 2023, di cui 124 solo nel primo trimestre 2026, entrando per la prima volta nella top 5 globale di ZeroFox.
- I vettori di intrusione sono tecniche ben note: spearphishing, credenziali valide acquisite da initial access broker e exploit di vulnerabilità già catalogate come CVE-2025-5777, CVE-2024-57727, CVE-2023-3519 e CVE-2023-48788.
- Il malware, riscritto in Rust per resistere al reverse engineering, è distribuito in modalità RaaS con barriere d'ingresso basse per gli affiliate.
- Il codice sorgente è stato venduto nel 2024 ad almeno tre acquirenti; Lynx e Sinobi sono ritenuti operatori di varianti derivate.
Come si infiltra: un playbook che non scarta nulla
La catena d'intrusione di INC non presenta anomalie tecniche. Secondo il report citato, il gruppo entra attraverso spearphishing mirato, credenziali valide ottenute da broker d'accesso iniziale e l'exploit di vulnerabilità note non ancora patchate nei target. Le quattro CVE documentate nell'analisi coprono prodotti diversi: Citrix Bleed 2 (CVE-2025-5777), SimpleHelp RMM (CVE-2024-57727), Citrix NetScaler (CVE-2023-3519) e Fortinet EMS (CVE-2023-48788).
Dopo l'accesso iniziale, la fase di discovery si serve di strumenti comuni: ping, cmd.exe, Advanced IP Scanner, netscan. Il furto delle credenziali avviene tramite script encoded in base64. Il movimento laterale sfrutta binari già presenti sul sistema — la tecnica living-off-the-land — e l'evasione delle difese passa attraverso EDR killers. La comunicazione con i server di comando e controllo utilizza tool red team e soluzioni commerciali di accesso remoto.
L'esfiltrazione dei dati culmina in archivi compressi caricati su storage cloud controllato dall'attaccante. INC pratica la doppia estorsione: cifratura dei sistemi più minaccia di pubblicazione dei dati rubati.
Perché i settori ad alta pressione sono il bersaglio perfetto
"What makes INC particularly effective is its focus on sectors where disruption creates immediate pressure to restore operations"
— Santiago Pontiroli, threat intelligence research lead, Acronis
I target dichiarati da INC — manifattura, servizi legali, sanità, tecnologia, costruzioni, istruzione — condividono un tratto comune: la discontinuità operativa ha costi immediati e visibili. In sanità, un'ora di blackout può bloccare sale operatorie. Nella manifattura giusto-in-time, ferma una linea e si blocca la supply chain. Pontiroli nota esplicitamente che la scelta dei settori non è casuale; è il meccanismo stesso di pressione che rende l'estorsione efficace.
La preferenza per organizzazioni con dati sensibili amplifica ulteriormente la leva negoziale. Non serve cifrare tutto: basta che qualcosa di sufficientemente delicato esca dalla rete.
La scalabilità come arma: la tesi dei ricercatori
Se c'è un elemento che distingue INC dai competitor, non è la sofisticazione tecnica ma la capacità di replicare l'attacco a scala. Pontiroli formula la tesi in modo netto: "If there's one factor that best explains the group's success, it's scalability". Il modello RaaS con barriere d'ingresso basse permette a molti affiliate di aggregarsi, ciascuno con i propri accessi iniziali e i propri target.
La transizione del malware a Rust conferma l'orientamento operativo. Il linguaggio offre resistenza al reverse engineering e compatibilità cross-platform — versioni esistono per Windows e Linux/ESXi — senza richiedere competenze di sviluppo esoteriche. È un investimento in longevità del codice, non in spettacolarità.
L'altro dato che alimenta la scalabilità è la commercializzazione del codice. Nel 2024 il sorgente è stato venduto ad almeno tre parti. Lynx e Sinobi sono identificati come operatori di varianti derivate. Questa diffusione orizzontale amplifica la presenza di INC nel campo senza che il gruppo originario espanda direttamente la propria infrastruttura.
La volatilità della top: crescita, contrazione, riconsolidamento
Adam Darrah, vice president of intelligence di ZeroFox, introduce una nota di cautela sulla lettura lineare del successo di INC. La classifica del primo trimestre 2026 — Qilin (338 incidenti), Akira (197), The Gentlemen (192), INC (124) davanti a Cl0p — nasconde una dinamica irregolare. "INC's trajectory, however, has been uneven — the contraction in late 2025 followed by a Q1 2026 surge probably reflects affiliate churn and re-consolidation rather than sustained organic growth".
Questo pattern differenzia INC da Qilin, che mantiene un profilo tecnico più marcato. Darrah osserva che "although INC doesn't have that same technical profile on paper as let's say Qilin, its Q1 2026 numbers suggest it's attracting affiliate volume at a competitive rate regardless". La capacità di attrarre affiliate diventa quindi il parametro competitivo, non l'eleganza del payload.
Perché è importante
Il dossier non specifica misure correttive o contromisure dedicate al modello operativo di INC. Non emergono indicazioni su volumi di riscatto effettivamente pagati, né sui tempi medi di permanenza nella rete prima della cifratura. L'entità esatta del churn affiliate resta ignota, come il numero preciso di operatori attivi nel network.
Il rapporto non documenta connessioni geopolitiche o sponsorizzazioni statali. Non chiarisce inoltre se le vittime siano distribuite globalmente o concentrate geograficamente, oltre all'indicazione di target "primarily US-based organizations".
Quanto alla comparazione tecnica, il report esplicita che INC presenta un profilo tecnico inferiore rispetto a gruppi come Qilin. La sua ascesa non invalida questa valutazione: la dimostra semplicemente insufficiente come unico predittore di impatto.
Per le organizzazioni, il messaggio è strutturale. Le tecniche che INC sfrutta — credenziali compromesse, patch non applicate, spearphishing — sono quelle che le difese standard dovrebbero intercettare. Il fatto che un gruppo di primo piano emerga senza zero-day non attenua la minaccia; la concentra sui punti dove la maturità difensiva tradizionalmente arranca.
Domande frequenti
INC usa tecniche obsolete?
No. Usa tecniche consolidate — spearphishing, credenziali rubate, exploit di vulnerabilità note — che restano efficaci perché le difese corrispondenti non sono ubique. Il report Acronis sottolinea esplicitamente che l'efficacia deriva dall'applicazione sistematica, non dalla novità.
Qual è la differenza tra INC, Lynx e Sinobi?
INC è il gruppo originario. Lynx e Sinobi operano varianti dello stesso codice sorgente, acquistato nel 2024. Il dossier non dettaglia come questi operatori coordinino o competano per i target.
Perché Rust è rilevante per un ransomware?
Secondo il report citato, il passaggio a Rust rende il reverse engineering più difficile e consente di compilare per più piattaforme con un unico codebase. È una scelta di manutenibilità e occultamento, non di funzionalità offensive innovative.
Le informazioni sono basate sull'advisory citato e aggiornate al momento della pubblicazione.
Fonti
- https://www.darkreading.com/cyberattacks-data-breaches/inc-ransomware-thrives-by-mastering-the-basics
- https://nvd.nist.gov/vuln/detail/CVE-2026-41940
- https://www.fortinet.com/resources/cyberglossary/national-vulnerability-database-nvd
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- https://nvd.nist.gov/vuln/detail/CVE-2026-20182
- https://nvd.nist.gov/vuln
- https://nvd.nist.gov/vuln/search
- https://nvd.nist.gov/vuln/categories
- https://nvd.nist.gov/vuln/data-feeds
- https://nvd.nist.gov/vuln/vendor-comments
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.