De INC ransomware is sinds augustus 2023 verantwoordelijk voor meer dan 830 slachtoffers en heeft zich in 2026 ontwikkeld tot een van de meest prominente ransomware-as-a-service (RaaS) operaties. Volgens onderzoek van Acronis heeft de verstoring van LockBit en het stoppen van BlackCat geleid tot een toestroom van affiliates naar INC, waardoor deze groep aanzienlijk kon groeien. Meer dan 65% van de slachtoffers bevindt zich in de Verenigde Staten, waarbij sectoren als juridische dienstverlening, productie, bouw, technologie en gezondheidszorg het vaakst worden getroffen.

De ransomware van INC is herschreven in de programmeertaal Rust, wat het makkelijker maakt om Windows- en Linux/ESXi-platforms te ondersteunen en de code beter te beschermen tegen reverse engineering. De aanvallen kenmerken zich door het gebruik van een geüpdatete credential dumper die ook nieuwere Veeam backup-implementaties kan aanvallen, waarbij gebruik wordt gemaakt van salted DPAPI credential encryptie. Sinds mei 2024 worden de Windows- en Linux-varianten van INC ook op de cybercrime-ondergrond verkocht, wat heeft geleid tot de opkomst van gerelateerde ransomwarefamilies zoals Lynx en Sinobi met aanzienlijke code-overlap.

INC-affiliates maken gebruik van diverse tools en technieken om slachtoffers te benaderen. Ze richten zich op onpatchte edge devices voor initiële toegang, halen credentials uit Veeam backup servers en gebruiken een combinatie van living-off-the-land binaries (LOLBins) en commerciële remote monitoring en management (RMM) tools om zich lateraal door netwerken te bewegen. De aanvalsketen begint met toegang via methoden zoals spear-phishing, aankoop van accountgegevens bij IABs en het exploiteren van kwetsbaarheden in publieke applicaties zoals Citrix Netscaler CVE-2023-3519 en CVE-2025-5777, Fortinet EMS CVE-2023-48788 en SimpleHelp CVE-2024-57727. Vervolgens worden gevoelige credentials geëxtraheerd, waarna tools als RDP en PsExec worden ingezet voor laterale beweging. Met technieken als BYOVD worden systeemverdedigingen verstoord en worden command-and-control tools zoals Cobalt Strike, AnyDesk, ScreenConnect en TeamViewer ingezet. Gevoelige data wordt met Rclone geëxfiltreerd in met wachtwoord beveiligde archieven, waarna de encryptor wordt uitgevoerd met optimalisaties zoals multithreading en gedeeltelijke encryptie. De payload biedt een command-line interface voor meer controle en kan met de "--esxi" parameter virtuele machines afsluiten.

De bevindingen tonen aan dat ransomwaregroepen succesvol kunnen zijn door bekende technieken toe te passen zonder geavanceerde tradecraft of unieke tooling, wat leidt tot een gestage stroom slachtoffers in diverse sectoren en regio's. Data van ZeroFox laat zien dat INC in het eerste kwartaal van 2026 de vierde meest actieve ransomwaregroep was, met meer dan 120 incidenten, na Qilin, Akira en The Gentlemen. Acronis benadrukt dat INC zijn operatie versterkt door payloads in Rust te herschrijven en het toolkit continu te verbeteren, met een focus op sectoren waar operationele stilstand financiële druk verhoogt om losgeld te betalen. Dit risico wordt versterkt doordat deze sectoren sterk afhankelijk zijn van ononderbroken processen en toeleveringsketens, wat ook gevolgen kan hebben voor leveranciersnetwerken en downstream partners bij een inbreuk.