Специалисты по кибербезопасности из компании Cyber Centaurs сообщили о нетипичном для рынка инциденте: им удалось получить доступ к инфраструктуре группировки, связанной с шифровальщиком INC ransomware, обнаружить на серверах злоумышленников зашифрованные бэкапы и восстановить данные 12 организаций из США, ранее подвергшихся вымогательским атакам.
Как специалисты вышли на инфраструктуру INC ransomware
Расследование началось после обращения американской компании, на одном из ее production-серверов Microsoft SQL была зафиксирована активность шифровальщика. Анализ показал, что используется вариант RainINC — модификация семейства INC ransomware, запущенная из директории PerfLogs. Эта папка создается Windows для логирования производительности, однако в последние годы ее часто используют злоумышленники для маскировки вредоносных файлов.
В ходе форензики эксперты обнаружили в системе артефакты легитимного инструмента резервного копирования Restic. Хотя в конкретной атаке утилита не применялась для кражи данных (эксфильтрация, по данным специалистов, происходила на этапе бокового перемещения по сети), именно Restic стал ключевым элементом, позволившим перейти от локального инцидента к анализу инфраструктуры вымогателей.
Злоупотребление Restic и «долгоживущие» репозитории вымогателей
Следы присутствия INC включали переименованные бинарные файлы (например, winupdate.exe), PowerShell-скрипты для запуска Restic, а также жестко закодированные параметры конфигурации: адреса репозиториев, команды резервного копирования и учетные данные для облачных хранилищ.
PowerShell, Base64 и жестко заданные ключи доступа
Особое внимание исследователей привлек скрипт new.ps1. В нем были обнаружены команды Restic, закодированные в Base64, и жестко прописанные переменные окружения: ключи доступа, S3-пароли, пути к зашифрованным репозиториям и другие секреты. Это типичный пример злоупотребления легитимными инструментами («living off the land»), затрудняющего детектирование атаки традиционными средствами защиты.
Проанализировав скрипты, эксперты пришли к важному выводу: если INC повторно использует одну и ту же Restic-инфраструктуру в разных кампаниях, то связанные с ней репозитории, вероятнее всего, не удаляются сразу после завершения вымогательской атаки. Иными словами, бэкапы с украденными данными могут еще долгое время храниться в зашифрованном виде на серверах под контролем злоумышленников.
Обнаружение и расшифровка данных 12 организаций
Эта гипотеза подтвердилась. Получив доступ к инфраструктуре, специалисты Cyber Centaurs обнаружили зашифрованные архивы данных 12 несвязанных между собой компаний, представляющих секторы здравоохранения, промышленности, технологий и услуг. Ни одна из этих организаций не являлась клиентом Cyber Centaurs, а сами инциденты относились к независимым вымогательским кампаниям.
Экспертам удалось расшифровать полученные бэкапы, сохранить их копии и инициировать взаимодействие с правоохранительными органами для установления владельцев данных и согласования дальнейших шагов. С точки зрения практики реагирования на инциденты это редкий пример, когда уничтожение или утрата данных, заявляемая вымогателями как «необратимая», фактически оказывается обратимой.
Тактика, техника и процедуры группировки INC
В опубликованном отчете Cyber Centaurs описывается ряд инструментов и техник, применяемых операторами INC ransomware. Среди них:
• инструменты зачистки следов (лог-вайперы, утилиты для отключения журналирования и антивирусной защиты);
• средства удаленного доступа (RMM-решения, легитимные и нелегитимные удаленные десктопы);
• сетевые сканеры и инструменты разведки для построения карты инфраструктуры и поиска ценных ресурсов.
Для детектирования подобных атак исследователи опубликовали YARA- и Sigma-правила, нацеленные на выявление Restic (включая переименованные бинарники), а также запуск резервного копирования из нетипичных директорий, что может указывать на подготовку к эксфильтрации данных или атаке шифровальщика.
Практические выводы для компаний
Случай с INC ransomware демонстрирует несколько ключевых тенденций в киберпреступности. Во‑первых, злоумышленники активно используют легитимные инструменты администрирования и резервного копирования, такие как Restic, Veeam, Rclone и аналогичные решения. Это требует не только установки средств защиты, но и жесткого контроля использования админ-инструментов через политики доступа, мониторинг и аудит.
Во‑вторых, атаки на данные все чаще включают не только шифрование, но и систематическое создание «теневых» бэкапов на инфраструктуре вымогателей. По данным различных отраслевых отчетов, вымогательские атаки продолжают оставаться одной из самых дорогих и разрушительных форм киберпреступности, а масштаб утечек данных растет из‑за двойного и тройного вымогательства (шифрование, публикация и перепродажа информации).
Важной мерой защиты становится не только наличие офлайн- и offsite-бэкапов, но и контроль за тем, кто, как и куда создает резервные копии. Любые нетипичные операции резервного копирования, особенно в ночное время, из необычных директорий или с использованием новых учетных записей, должны рассматриваться как триггеры для немедленного расследования.
Организациям рекомендуется пересмотреть политику управления доступом к инструментам бэкапирования, включить правила детектирования Restic и аналогичных утилит в SIEM/EDR, регулярно тестировать сценарии восстановления после атаки шифровальщика и отслеживать публикации новых YARA- и Sigma-правил от надежных исследовательских команд. Своевременное реагирование и грамотное управление резервными копиями могут стать тем фактором, который не только снизит ущерб от атаки, но и, как показал кейс с INC ransomware, в ряде случаев позволит восстановить уже похищенные данные.
