Monochrome image of a masked hacker on a video call, showcasing cyber security themes.
News

INC Ransomware : 830 victimes en trois ans, des hôpitaux aux cabinets d'avocats

INC Ransom a revendiqué 830 victimes depuis 2023 dans la santé, le juridique et l'industrie. Ses encrypteurs Rust ciblent Windows et Linux/ESXi.
Sara Amin
Marketing Student • Content & Writing Enthusiast

En juin 2026, des chercheurs en cybersécurité ont publié une analyse approfondie de l'évolution d'INC Ransom, un groupe de ransomware-as-a-service qui a revendiqué plus de 830 victimes depuis son apparition en août 2023. The Hacker News rapporte qu'INC Ransom est devenu l'un des groupes de rançongiciel les plus actifs au monde, ciblant principalement les hôpitaux, les cabinets d'avocats, les entreprises industrielles et les prestataires de services informatiques. Au premier trimestre 2026, INC s'est positionné comme le quatrième groupe le plus actif, derrière Qilin, Akira et The Gentlemen, avec plus de 120 incidents revendiqués sur la seule période. Les encrypteurs Windows et Linux/ESXi du groupe ont été réécrits en Rust, ce qui complique significativement leur analyse par les équipes de sécurité et les chercheurs en malware, et les rend plus difficiles à détecter par les solutions de sécurité existantes.

Qu'est-ce qu'INC Ransom et comment fonctionne son modèle ?

INC Ransom opère selon le modèle du ransomware-as-a-service (RaaS), dans lequel le groupe développeur crée et maintient l'infrastructure, les outils et les encrypteurs, tandis que des affiliés indépendants les louent pour mener des attaques contre des cibles de leur choix. Les revenus des rançons sont partagés entre le groupe développeur et l'affilié ayant conduit l'attaque. Ce modèle a révolutionné le cybercrime en permettant à des individus sans compétences techniques en développement de malware de mener des attaques sophistiquées en achetant l'accès à une plateforme criminelle clé en main.

INC Ransom a été identifié pour la première fois en juillet-août 2023. Sa progression a été rapide : en moins de trois ans, le groupe a accumulé plus de 830 victimes revendiquées sur son site de fuite, qui sert à la fois de vitrine pour démontrer l'activité du groupe à de potentiels affiliés et de mécanisme de pression sur les victimes récalcitrantes. La publication de données sur le site de fuite intervient lorsqu'une victime refuse de payer la rançon dans le délai imparti, exposant publiquement les données extraites avant le chiffrement.

Le modèle de double extorsion est systématiquement appliqué par INC Ransom : avant de chiffrer les fichiers d'une organisation, les affiliés extraient une copie des données les plus sensibles. La victime se trouve alors confrontée à deux menaces distinctes mais liées : la perte d'accès à ses données (résolue par le paiement d'une rançon en échange de la clé de déchiffrement) et la publication publique des données extraites (résolue par le paiement d'une rançon supplémentaire ou de la même rançon selon les négociations). Cette double pression est particulièrement efficace contre les organisations dont la réputation ou la conformité réglementaire serait gravement affectée par la publication des données volées.

Les secteurs les plus touchés : santé, juridique et industrie

Les États-Unis représentent plus de 65 % des victimes revendiquées par INC Ransom, mais la couverture géographique est mondiale. Le secteur de la santé figure parmi les cibles prioritaires du groupe et de ses affiliés. Microsoft a documenté qu'un affilié d'INC Ransom opérant sous le nom "Vanilla Tempest" a ciblé spécifiquement le secteur hospitalier américain, avec des attaques confirmées contre des établissements de soins dont McLaren Health Care, un réseau hospitalier du Michigan. Les hôpitaux sont des cibles privilégiées pour les groupes de ransomware parce que l'interruption de leurs systèmes informatiques peut menacer directement la vie des patients, ce qui crée une pression maximale pour payer rapidement et éviter de prolonger la perturbation des soins.

Les services juridiques constituent la deuxième grande catégorie de victimes. Les cabinets d'avocats gèrent des données extrêmement confidentielles : contrats commerciaux, litiges en cours, informations sur les fusions-acquisitions, données de clients à haute valeur nette. Ces données sont protégées par le secret professionnel et leur publication publique pourrait exposer les cabinets à des actions disciplinaires, des poursuites judiciaires et une perte irrémédiable de la confiance de leurs clients. Cette vulnérabilité rend les cabinets d'avocats particulièrement enclins à régler discrètement sans signalement public.

L'industrie manufacturière, le secteur de la construction et les entreprises de technologie complètent le panorama des victimes. Ces secteurs sont attractifs pour INC Ransom pour des raisons différentes : les entreprises manufacturières et de construction ont souvent des systèmes informatiques hétérogènes et des pratiques de sécurité moins matures que les secteurs financiers ou technologiques, tandis que les entreprises de technologie détiennent des propriétés intellectuelles dont la valeur est directement liée à leur confidentialité.

Les encrypteurs Rust : pourquoi c'est important

La réécriture des encrypteurs Windows et Linux/ESXi d'INC Ransom en langage Rust est une évolution technique significative. Rust est un langage de programmation moderne qui offre plusieurs avantages du point de vue d'un groupe de ransomware. Premièrement, le code Rust est notablement plus difficile à analyser que le code C ou C++ classiquement utilisé dans les malwares, ce qui ralentit le travail des chercheurs en sécurité cherchant à comprendre le fonctionnement du chiffreur, à identifier des failles dans l'implémentation qui permettraient de récupérer des fichiers sans payer, ou à développer des signatures de détection efficaces.

Deuxièmement, Rust permet un développement multiplateforme plus aisé. Le fait qu'INC Ransom dispose d'encrypteurs fonctionnels pour Windows et pour Linux/ESXi signifie que ses affiliés peuvent chiffrer aussi bien les postes de travail et serveurs Windows d'une organisation que son infrastructure de virtualisation VMware ESXi. Les hyperviseurs ESXi hébergent souvent des dizaines ou des centaines de machines virtuelles dans les environnements d'entreprise : chiffrer l'hyperviseur plutôt que chaque VM individuellement est une technique particulièrement destructrice qui maximise l'impact d'une attaque en un minimum de temps.

Troisièmement, les affiliés d'INC Ransom ont mis à jour leur outil de capture de credentials pour cibler les déploiements récents de Veeam, un logiciel de sauvegarde très répandu dans les entreprises. La capacité à compromettre les sauvegardes est une évolution préoccupante : si les copies de sauvegarde sont chiffrées ou rendues inaccessibles en même temps que les données de production, la victime n'a plus de filet de sécurité permettant de restaurer ses systèmes sans payer. La détection précoce des activités des affiliés INC Ransom avant que la phase de chiffrement soit déclenchée est la seule protection réellement efficace contre cette tactique.

L'émergence d'INC dans le contexte du marché du ransomware en 2026

Le paysage du ransomware en 2026 est marqué par une concentration croissante : un petit nombre de groupes très actifs réalisent la majorité des attaques, tandis que des groupes plus récents comme INC cherchent à consolider leur position en démontrant leur capacité à compromettre des organisations de premier plan. LeMagIT a analysé le lien possible entre INC et feu Vice Society, un groupe spécialisé dans les attaques contre le secteur de la santé et de l'éducation qui a cessé ses activités en 2023. Si cette affiliation est confirmée, elle expliquerait la rapidité avec laquelle INC Ransom a développé une expertise dans le ciblage hospitalier.

En mai 2024, un acteur identifié sous le pseudonyme "salfetka" a tenté de vendre le code source des encrypteurs Windows et Linux/ESXi d'INC Ransom sur des forums criminels pour la somme de 300 000 dollars. Cette tentative de vente du code source est caractéristique d'une dynamique observée dans le monde du cybercrime : des initiés ou d'anciens associés d'un groupe cherchent à monétiser l'accès à la propriété intellectuelle criminelle du groupe, que ce soit par trahison, par départ volontaire ou par une stratégie délibérée de diversification. Si cette vente a abouti, elle signifie que le code d'INC Ransom pourrait être à la base de nouveaux groupes opérant des variantes du ransomware sous d'autres noms.

La position d'INC comme quatrième groupe le plus actif au premier trimestre 2026 illustre la capacité de nouveaux acteurs à monter rapidement en puissance dans l'écosystème RaaS. Les groupes qui atteignent cette échelle disposent généralement d'une infrastructure technique mature, d'un réseau d'affiliés expérimentés et d'une réputation établie leur permettant de recruter de nouveaux affiliés. Ces caractéristiques font d'INC Ransom un groupe susceptible de maintenir ou d'augmenter son niveau d'activité dans les mois à venir, contrairement à des opérations moins structurées qui disparaissent aussi vite qu'elles apparaissent.

Comment se protéger contre INC Ransom et les groupes similaires

La protection contre INC Ransom et les groupes RaaS similaires repose sur une combinaison de mesures techniques et organisationnelles. Sur le plan technique, la priorité absolue est de s'assurer que les sauvegardes existent, sont testées régulièrement, et sont stockées dans un environnement inaccessible depuis le réseau de production qui sera chiffré lors d'une attaque. Une sauvegarde qui peut être atteinte et chiffrée par un affilié de ransomware n'est pas une sauvegarde fonctionnelle dans le contexte d'une attaque de ransomware.

La segmentation réseau est la deuxième mesure critique. Les affiliés de ransomware passent souvent plusieurs jours ou semaines à explorer et à se déplacer latéralement dans un réseau avant de déclencher la phase de chiffrement. Un réseau correctement segmenté limite la portée de ce mouvement latéral et peut empêcher un accès compromis dans un segment du réseau de se transformer en compromission de l'ensemble de l'infrastructure. La surveillance des mouvements latéraux anormaux, des nouvelles connexions entre segments normalement isolés, et des comportements inhabituels des comptes à privilèges sont des indicateurs que la phase de reconnaissance d'une attaque RaaS est en cours.

La gestion des identités et des accès est le troisième pilier. La majorité des intrusions initiales qui aboutissent à un déploiement de ransomware utilisent des credentials compromis, qu'il s'agisse de credentials volés dans des attaques de phishing, de credentials exposés dans des fuites de données antérieures, ou de credentials de force brute sur des services exposés comme RDP. La surveillance des identifiants compromis circulant sur les marchés clandestins permet de détecter et de neutraliser un credential exposé avant qu'il ne serve de point d'entrée à un affilié de ransomware. C'est souvent la détection la plus précoce disponible : le credential apparaît sur un forum criminel des semaines ou des mois avant l'attaque.

Foire aux questions

Mon organisation peut-elle être ciblée par INC Ransom si elle n'est pas aux États-Unis ?

Oui. Bien que plus de 65 % des victimes revendiquées par INC Ransom soient américaines, le groupe et ses affiliés opèrent à l'échelle mondiale. Aucun secteur ni aucune géographie ne sont hors de portée. La concentration sur les États-Unis reflète probablement le fait que les organisations américaines sont plus fréquemment identifiées comme solvables et que le paiement de rançons y est plus courant, mais les hôpitaux, cabinets d'avocats et entreprises industrielles de toutes régions sont des cibles potentielles.

Si je reçois une demande de rançon d'INC Ransom, dois-je payer ?

Le paiement d'une rançon est une décision complexe qui dépend de nombreux facteurs : disponibilité des sauvegardes, étendue des données volées, pression réglementaire sur la publication des données, et capacité à restaurer les systèmes sans la clé de déchiffrement. Les autorités de cybersécurité de nombreux pays, dont l'ANSSI en France et CISA aux États-Unis, déconseillent généralement le paiement car il n'offre aucune garantie que les données volées ne seront pas publiées ultérieurement et il finance l'opération criminelle. Mais la réalité est que certaines organisations n'ont pas d'autre option viable si leurs sauvegardes ont été compromises. La consultation d'un expert en réponse à incident avant toute décision de paiement est systématiquement recommandée.

Comment INC Ransom obtient-il l'accès initial aux systèmes de ses victimes ?

Les affiliés d'INC Ransom utilisent les vecteurs d'accès initial les plus courants dans le cybercrime : phishing par email, exploitation de vulnérabilités dans des services exposés sur Internet (VPN, RDP, serveurs web), achat d'accès initial à des courtiers spécialisés (Initial Access Brokers) qui vendent des accès à des réseaux déjà compromis, et utilisation de credentials volés disponibles sur les marchés clandestins. Aucun vecteur unique n'est exclusif au groupe ; ses affiliés choisissent la méthode d'accès la plus appropriée en fonction de la cible.

Qu'est-ce que le mouvement latéral et pourquoi est-il si difficile à détecter ?

Le mouvement latéral désigne les techniques utilisées par un attaquant pour se déplacer d'un système compromis vers d'autres systèmes dans le même réseau. Après avoir obtenu un accès initial, un affilié de ransomware passera de nombreuses heures ou jours à explorer le réseau, à escalader les privilèges et à se positionner pour maximiser l'impact du chiffrement futur. La difficulté de détecter ce mouvement tient au fait qu'il utilise souvent des outils et des protocoles légitimes (Windows Management Instrumentation, PowerShell, PsExec) qui font partie du fonctionnement normal des réseaux d'entreprise. La différence entre un administrateur système qui déplace des données entre serveurs et un affilié de ransomware qui fait de même est souvent imperceptible sans une analyse comportementale fine et contextuelle.

L'assurance cyber couvre-t-elle les dommages d'une attaque par INC Ransom ?

La couverture dépend des termes spécifiques de la police d'assurance souscrite. De nombreuses polices d'assurance cyber couvrent les coûts de réponse à incident, la restauration des données, la perte d'exploitation pendant la période d'indisponibilité, et dans certains cas le paiement de la rançon. Les exclusions varient selon les assureurs et évoluent régulièrement en fonction de l'évolution du risque cyber. Certains assureurs conditionnent leur couverture à la démonstration de pratiques de sécurité minimales (sauvegardes, MFA, formation des employés). Il est conseillé de vérifier les termes de votre police avant d'être confronté à un incident plutôt que de découvrir les exclusions applicables pendant une crise.

Comment savoir si mon organisation a été ciblée par INC Ransom avant que l'attaque ne soit déclenchée ?

Les signaux d'alerte d'une intrusion active incluent : des connexions inhabituelles sur des comptes à privilèges, des accès à des volumes de données inhabituellement importants, des tentatives de désactivation des solutions de sécurité, des modifications des configurations de sauvegarde, et des communications réseau vers des destinations inhabituelles. La surveillance des données exposées sur les marchés clandestins peut également indiquer qu'un credential de votre organisation est en circulation avant que l'intrusion ne soit détectée en interne. Quand ces signaux de menace sont corrélés avec les indicateurs de compromission publiés par les chercheurs suivant INC Ransom, ils permettent parfois de détecter une attaque en cours plusieurs jours avant la phase destructrice.

INC Ransom dans le contexte de la menace ransomware mondiale en 2026

Pour comprendre la position d'INC Ransom dans le paysage des menaces, il est utile de le replacer dans le contexte plus large de l'activité ransomware au premier trimestre 2026. Qilin, le groupe le plus actif avec 338 victimes revendiquées, est également connu pour avoir ciblé des hôpitaux britanniques avec des conséquences très concrètes sur les soins aux patients. Akira, deuxième avec 197 victimes, cible une gamme large d'industries à l'échelle mondiale. The Gentlemen, troisième avec 192 victimes, est un groupe relativement récent qui a rapidement construit une présence significative. INC Ransom, quatrième avec plus de 120 incidents en Q1, s'inscrit dans cette dynamique de concurrence entre groupes RaaS pour attirer les meilleurs affiliés et accumuler les victimes les plus rentables.

Ce contexte de concurrence entre groupes de ransomware a une implication pratique pour les organisations : il n'y a pas de "bonne" cible pour un groupe plutôt qu'un autre. Un affilié de ransomware qui n'arrive pas à compromettre une cible spécifique avec les outils d'INC Ransom peut utiliser ceux d'Akira ou de Qilin selon son accès aux différentes plateformes RaaS. La menace ransomware est systémique plutôt que spécifiquement liée à un groupe. Ce qui varie entre les groupes, c'est la sophistication des outils, les secteurs de prédilection des affiliés actifs, et les mécanismes de négociation et de paiement mis en place par le groupe développeur.

La réapparition cyclique de groupes sous de nouveaux noms est une caractéristique de l'écosystème RaaS. Des membres ou des affiliés d'un groupe dissous rejoignent d'autres opérations ou en créent de nouvelles, emportant avec eux leur expérience opérationnelle, leurs contacts et parfois leur code source. Si le lien entre INC Ransom et feu Vice Society est confirmé, INC bénéficie d'une expertise accumulée sur plusieurs années d'attaques dans le secteur hospitalier, avec une connaissance fine des vulnérabilités spécifiques aux environnements médicaux, des délais de réponse typiques des établissements de santé et des leviers de pression les plus efficaces pour accélérer le paiement. Cette continuité opérationnelle sous de nouveaux noms est une raison centrale pour laquelle le suivi des tactiques, techniques et procédures des groupes ransomware est plus utile que le simple suivi des noms de groupes, qui changent tandis que les individus, les méthodes et les motivations persistent dans la durée.

Comment Defendis peut vous aider

Ce type d'incident illustre un problème structurel : les informations critiques sur une compromission active circulent d'abord dans des canaux fermés, forums clandestins et communautés privées, avant d'atteindre les équipes de sécurité par les canaux officiels. Le temps perdu dans cet écart est souvent celui où l'exploitation est la plus active et les dommages les plus importants.

Defendis surveille ces sources en continu. Votre équipe reçoit des signaux d'alerte pertinents avant que l'incident ne devienne public, avec le contexte nécessaire pour agir rapidement, sans que vos analystes aient à patrouiller eux-mêmes dans des espaces qu'ils ne devraient pas avoir à fréquenter.

Réserver une démo

About the author
Sara is a marketing student and tech writing enthusiast with an interest in digital culture, startups, and emerging technologies.

Related Articles

Discover simplified
Cyber Risk Management
Request access and learn how we can help you prevent cyberattacks proactively.