Un equipo de especialistas de Cyber Centaurs logró algo inusual en el ecosistema del ransomware: acceder a parte de la infraestructura de la banda vinculada a INC ransomware, localizar copias de seguridad cifradas alojadas en los servidores de los atacantes y restaurar datos pertenecientes a 12 organizaciones estadounidenses que habían sido previamente extorsionadas.
Del incidente en un servidor SQL a la infraestructura de INC ransomware
La investigación se inició tras un incidente en una empresa de EE. UU., donde se detectó actividad de cifrado en un servidor Microsoft SQL de producción. El análisis forense identificó una variante denominada RainINC, una modificación del INC ransomware, ejecutada desde la carpeta PerfLogs, un directorio de Windows destinado a registros de rendimiento que, en los últimos años, se ha convertido en un escondite frecuente para binarios maliciosos.
Durante la respuesta al incidente, los analistas encontraron evidencias del uso del software legítimo de backup Restic. Aunque en ese caso concreto la exfiltración de datos se había producido durante el movimiento lateral, los rastros de Restic —scripts, parámetros y credenciales— se convirtieron en la pieza clave que permitió pivotar desde un incidente aislado hacia el análisis de la infraestructura de los propios operadores del ransomware.
Abuso de Restic y persistencia de repositorios de copias de seguridad
Los investigadores identificaron binarios renombrados (como winupdate.exe), scripts de PowerShell destinados a ejecutar Restic y múltiples parámetros embebidos: URLs de repositorios, comandos de backup y credenciales de acceso a almacenamiento en la nube tipo S3.
Scripts PowerShell, Base64 y credenciales hardcodeadas
Uno de los artefactos más reveladores fue el script new.ps1, que contenía comandos de Restic codificados en Base64 y variables de entorno con claves de acceso, contraseñas S3 y rutas a repositorios cifrados. Este enfoque encaja con la táctica de living off the land: aprovechar herramientas legítimas de administración para camuflar actividades maliciosas y evadir soluciones de seguridad tradicionales como antivirus o IDS basados en firmas.
El análisis de varios scripts llevó a una conclusión crítica: la infraestructura de Restic era reutilizada en múltiples campañas de INC ransomware y los repositorios asociados no se eliminaban inmediatamente tras cada ataque. En la práctica, esto significa que copias de seguridad de datos robados pueden seguir almacenadas, cifradas, durante largos periodos en sistemas controlados por los delincuentes.
Hallazgo y recuperación de datos de 12 organizaciones víctimas
Al acceder a esa infraestructura, Cyber Centaurs descubrió repositorios cifrados con información procedente de 12 empresas no relacionadas entre sí de sectores como salud, industria, tecnología y servicios. Ninguna de estas entidades era cliente previo de la firma, y los ataques correspondían a campañas de extorsión independientes.
Los especialistas consiguieron descifrar las copias de seguridad, preservar versiones forenses de los datos e iniciar la coordinación con las fuerzas de seguridad para identificar a los legítimos propietarios y definir las siguientes acciones. Este caso contradice uno de los mensajes habituales de los grupos de ransomware, que suelen presentar la destrucción o la pérdida de datos como algo irreversible para presionar el pago del rescate.
Tácticas, técnicas y procedimientos de INC ransomware
El informe publicado detalla varias tácticas, técnicas y procedimientos (TTP) utilizados por INC ransomware, entre ellas:
• Herramientas para eliminación de rastros (borrado de logs, desactivación de registros y de defensas antivirus).
• Soluciones de acceso remoto (plataformas RMM, escritorios remotos legítimos y no autorizados) para mantener persistencia y control.
• Escáneres de red y utilidades de reconocimiento para mapear la infraestructura víctima y detectar activos críticos antes del cifrado.
Para mejorar la detección, los investigadores publicaron reglas YARA y Sigma orientadas a identificar el uso de Restic (incluyendo binarios renombrados) y la ejecución de procesos de copia de seguridad desde directorios inusuales, indicadores típicos de preparación de exfiltración o de un ataque de ransomware moderno con doble o triple extorsión.
Lecciones clave para la defensa frente a ransomware y abuso de herramientas de backup
El caso de INC ransomware confirma varias tendencias observadas en informes recientes de la industria, como los de IBM o Verizon: los grupos de ransomware combinan el cifrado con la exfiltración y el uso de copias de seguridad “en la sombra”, almacenadas en su propia infraestructura para maximizar la presión sobre las víctimas mediante amenazas de filtración y reventa de datos.
Las organizaciones deben fortalecer no solo sus mecanismos de backup, sino también el gobierno y la supervisión de las herramientas de copia de seguridad como Restic, Veeam o Rclone. Resulta esencial controlar quién puede ejecutarlas, desde qué sistemas, en qué horarios y hacia qué destinos. Operaciones de backup atípicas —ejecuciones nocturnas no planificadas, desde cuentas nuevas o ubicaciones como PerfLogs— deben disparar alertas inmediatas en las plataformas SIEM y EDR.
Además, es recomendable integrar reglas de detección para herramientas de backup en los casos de uso del SIEM, aplicar el principio de mínimo privilegio, mantener copias de seguridad offline y offsite, y probar con regularidad los procedimientos de restauración tras un ataque de ransomware. Monitorizar de forma proactiva nuevas reglas YARA y Sigma procedentes de equipos de investigación fiables puede marcar la diferencia entre un incidente catastrófico y un evento controlable.
La experiencia con INC ransomware demuestra que una combinación de forense digital profunda, visibilidad sobre herramientas legítimas y gestión rigurosa de copias de seguridad no solo reduce el impacto de un ataque, sino que, en determinados escenarios, puede incluso permitir recuperar datos que los atacantes daban por definitivamente perdidos. Invertir en estas capacidades y en la formación de los equipos de seguridad se ha convertido en un componente imprescindible de cualquier estrategia moderna de ciberresiliencia.
