INC Ransomware já soma mais de 830 vítimas desde 2023 e se consolida como uma das maiores ameaças de 2026

De operação iniciante a quarta maior gangue de ransomware do mundo

O INC Ransomware começou suas operações em agosto de 2023 e, em menos de três anos, acumulou mais de 830 vítimas confirmadas. Segundo pesquisadores da Acronis, o crescimento acelerou depois que dois grandes concorrentes LockBit e BlackCat foram desmantelados pelas autoridades. Com isso, afiliados criminosos migraram para o INC, ampliando sua capacidade de ataque.

No primeiro trimestre de 2026, o grupo foi o quarto mais ativo do mundo, responsável por mais de 120 incidentes no período.

Quem está na mira

Mais de 65% das vítimas estão nos Estados Unidos, mas o perfil dos setores atacados é um alerta global: saúde, serviços jurídicos, manufatura, construção civil e tecnologia lideram a lista. São exatamente os segmentos onde uma paralisação operacional gera pressão financeira imediata e onde a chance de pagar o resgate é maior.

Para uma clínica, um escritório de advocacia ou uma indústria, ter os sistemas bloqueados por horas já representa prejuízo severo. Os criminosos sabem disso e escolhem as vítimas com critério.

Como o ataque funciona

O INC usa uma combinação de técnicas bem conhecidas, mas executadas com precisão:

• Acesso inicial por phishing direcionado, credenciais compradas na dark web ou exploração de falhas em dispositivos expostos à internet (como Citrix, Fortinet e ferramentas de acesso remoto).
• Roubo de credenciais, incluindo senhas armazenadas em servidores de backup Veeam o que compromete diretamente a capacidade de recuperação da vítima.
• Movimentação lateral silenciosa pela rede usando ferramentas legítimas do próprio Windows (RDP, PsExec), dificultando a detecção.
• Desativação de defesas com drivers vulneráveis injetados no sistema.
• Exfiltração de dados antes de criptografar tudo garantindo dupla pressão: pague ou seus dados vazam.

O encriptador foi reescrito em Rust, tornando-o mais difícil de analisar e compatível com ambientes Windows e Linux/VMware ESXi.

O ponto mais preocupante: o backup também é alvo

Um detalhe técnico merece atenção especial: o INC desenvolveu uma ferramenta capaz de extrair credenciais de versões recentes do Veeam Backup. Isso significa que mesmo empresas que fazem backup regularmente podem perder o acesso às cópias de segurança durante o ataque.

Backup conectado à rede principal, sem isolamento, não é proteção real contra ransomware. A estratégia correta envolve cópias offsite ou imutáveis, fora do alcance de qualquer invasor que já esteja dentro da rede.

O que isso significa na prática

O INC não usa técnicas mirabolantes. Ele escala porque explora o básico que ainda falta em muitas empresas: dispositivos sem atualização, backups mal configurados, ausência de monitoramento comportamental e credenciais fracas ou reutilizadas.

A proteção começa com o básico bem feito: atualização de sistemas e dispositivos de borda, solução de segurança com detecção comportamental (EDR), backup isolado e testado, e controle rigoroso de acessos remotos. Quem ainda não revisou esses pontos está operando com a porta entreaberta.