Sign up to save your podcasts
Or
Share IPGR Investigación 8 - Ransomware INC
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
IPGR Investigación 8 - Ransomware INC
INC Ransom (GOLD IONIC) es un grupo de ransomware activo desde 2023 que evolucionó rápidamente a un modelo RaaS, con más de 450 organizaciones afectadas hasta finales de 2025. Tras vender su código fuente en 2024, surgieron variantes y afiliados que ampliaron su alcance y agresividad.
Opera principalmente mediante explotación de vulnerabilidades expuestas, phishing dirigido y uso de credenciales válidas, con fuerte énfasis en movimiento lateral y abuso de herramientas legítimas del sistema (LOLBins). Destaca su capacidad para atacar entornos virtualizados VMware ESXi, eliminando copias de seguridad y VMs para maximizar impacto.
El malware es multiplataforma (Windows, Linux, ESXi), emplea cifrado híbrido (AES + Curve25519) y permite modos de cifrado configurables. Utiliza doble extorsión (cifrado + filtración de datos) y exige rescates que van desde decenas de miles hasta varios millones de dólares, cobrados en criptomonedas.
Los sectores más afectados incluyen salud, educación, manufactura e industria, con fuerte concentración en EE. UU. y Europa. El grupo emplea infraestructura en Tor, servicios cloud para exfiltración y, recientemente, certificados digitales robados para evadir controles.
La mitigación efectiva requiere parcheo prioritario de perímetro, MFA, EDR/XDR con enfoque conductual, backups inmutables, segmentación de redes críticas y monitoreo específico de comandos y herramientas asociadas a ataques en ESXi.
Fuente: Lista de URL’s de donde se tomó la información.
https://app.any.run/tasks/dad7d9d5-1f2f-4496-8925-ffcb65a53b95/?utm_source=medium&utm_medium=article&utm_campaign=inc&utm_term=281125&utm_content=linktoservice
https://twitter.com/hashtag/incransom?f=live
https://www.checkpoint.com/cyber-hub/threat-prevention/ransomware/inc-ransom-group-detection-and-prevention/
https://cyble.com/threat-actor-profiles/inc-ransom/
https://attack.mitre.org/groups/G1032/
https://www.vectra.ai/modern-attack/threat-actors/inc-ransom
https://attack.mitre.org/software/S1139/
https://www.sentinelone.com/anthology/inc-ransom/
https://reliaquest.com/blog/inc-ransom-attack-analysis/
https://www.watchguard.com/wgrd-security-hub/ransomware-tracker/inc-ransom
Donde contactarnos:
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
Donde escucharnos:
https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ
https://www.youtube.com/@BlueTeamSMI
https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento
https://www.deezer.com/show/1001514961
https://shows.acast.com/blueteam-sin-morir-en-el-intento
Donde donarnos:
https://buymeacoffee.com/btsmi
¡Síguenos y dale like!
Hosted on Acast. See acast.com/privacy for more information.
View all episodes
By Jose RojasINC Ransom (GOLD IONIC) es un grupo de ransomware activo desde 2023 que evolucionó rápidamente a un modelo RaaS, con más de 450 organizaciones afectadas hasta finales de 2025. Tras vender su código fuente en 2024, surgieron variantes y afiliados que ampliaron su alcance y agresividad.
Opera principalmente mediante explotación de vulnerabilidades expuestas, phishing dirigido y uso de credenciales válidas, con fuerte énfasis en movimiento lateral y abuso de herramientas legítimas del sistema (LOLBins). Destaca su capacidad para atacar entornos virtualizados VMware ESXi, eliminando copias de seguridad y VMs para maximizar impacto.
El malware es multiplataforma (Windows, Linux, ESXi), emplea cifrado híbrido (AES + Curve25519) y permite modos de cifrado configurables. Utiliza doble extorsión (cifrado + filtración de datos) y exige rescates que van desde decenas de miles hasta varios millones de dólares, cobrados en criptomonedas.
Los sectores más afectados incluyen salud, educación, manufactura e industria, con fuerte concentración en EE. UU. y Europa. El grupo emplea infraestructura en Tor, servicios cloud para exfiltración y, recientemente, certificados digitales robados para evadir controles.
La mitigación efectiva requiere parcheo prioritario de perímetro, MFA, EDR/XDR con enfoque conductual, backups inmutables, segmentación de redes críticas y monitoreo específico de comandos y herramientas asociadas a ataques en ESXi.
Fuente: Lista de URL’s de donde se tomó la información.
https://app.any.run/tasks/dad7d9d5-1f2f-4496-8925-ffcb65a53b95/?utm_source=medium&utm_medium=article&utm_campaign=inc&utm_term=281125&utm_content=linktoservice
https://twitter.com/hashtag/incransom?f=live
https://www.checkpoint.com/cyber-hub/threat-prevention/ransomware/inc-ransom-group-detection-and-prevention/
https://cyble.com/threat-actor-profiles/inc-ransom/
https://attack.mitre.org/groups/G1032/
https://www.vectra.ai/modern-attack/threat-actors/inc-ransom
https://attack.mitre.org/software/S1139/
https://www.sentinelone.com/anthology/inc-ransom/
https://reliaquest.com/blog/inc-ransom-attack-analysis/
https://www.watchguard.com/wgrd-security-hub/ransomware-tracker/inc-ransom
Donde contactarnos:
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
Donde escucharnos:
https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ
https://www.youtube.com/@BlueTeamSMI
https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento
https://www.deezer.com/show/1001514961
https://shows.acast.com/blueteam-sin-morir-en-el-intento
Donde donarnos:
https://buymeacoffee.com/btsmi
¡Síguenos y dale like!
Hosted on Acast. See acast.com/privacy for more information.