incransom
incransom es un operativo de ransomware-as-a-service (RaaS) activo desde julio de 2023 que ha causado impactos significativos en sectores críticos como salud, gobierno, educación y manufactura en América del Norte y Europa. Según registros actualizados hasta 2025, el operativo ha afectado a más de 725 victimas, con una estrategia sistemática que no restringe sectores específicos.
Perfil del Actor
incransom opera como un RaaS (Ransomware-as-a-Service), lo que implica que sus miembros pueden comprar y vender funcionalidades de ransomware a clientes finales. Su actividad se enmarca en una red de operadores que actúan como intermediarios, facilitando la distribución y el uso de amenazas cibernéticas. No se han revelado detalles sobre su estructura interna o sus miembros clave.
Origen y Motivación
El origen del operativo no ha sido identificado con certeza, aunque su motivación parece estar centrada en el robo de datos y la extorsión financiera. La actividad se enfoca en sectores que priorizan la privacidad y la continuidad operativa, lo que sugiere un interés por obtener beneficios económicos a través de amenazas cibernéticas.
Técnicas y Tacticas (TTPs)
El operativo utiliza técnicas de ataque basadas en la extorsión digital, con enfoques que incluyen la inyección de ransomware en sistemas críticos. La estrategia se caracteriza por un enfoque sectorial, con una preferencia por sectores que pueden pagar altas sumas por el acceso a datos sensibles. No se han identificado detalles específicos sobre las herramientas o métodos utilizados.
Campanas Conocidas
El operativo ha sido asociado con ataques en múltiples empresas y organizaciones, particularmente en regiones con una alta densidad de infraestructuras críticas. Aunque no se han especificado detalles sobre las operaciones individuales, su presencia en dominios y redes anónimas sugiere un enfoque en la evasión de controles de seguridad.
Objetivos y Victimas
incransom se centra en sectores clave que requieren continuidad operativa, incluyendo salud, gobierno, educación y manufactura. Su objetivo principal es extorsionar a las victimas con el secuestro de datos o la cifración de sistemas. Según registros actuales, el operativo ha logrado afectar a más de 725 organizaciones en un periodo de actividad que comenzó en 2023.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
| Domain | incapt.blog | Ataques en sectores críticos |
| Domain | incapt.su | Vínculo con redes anónimas |
| Onion | incbacg6bfwtrlzwdbqc55gsfl763s3twdtwhp27dzuik6s6rwdcityd.onion | Distribución de amenazas cibernéticas |
| Domain | incbackend.top | Ataques en infraestructuras críticas |
| Onion | incbackrlasjesgpfu5brktfjknbqoahe2hhmqfhasc5fb56mtukn4yd.onion | Vínculo con redes anónimas |
Detección y Defensa
Para mitigar el impacto de incransom, las organizaciones deben implementar controles de seguridad robustos, monitorear redes para detectar dominios sospechosos o redes anónimas, y mantener respaldos actualizados. La detección temprana mediante la identificación de IOCs específicos es crucial para minimizar daños.