INC Ransomware totalise 830 victimes et monte en puissance

INC Ransomware : de la discrétion à la domination du marché RaaS en trois ans

Apparu en août 2023 dans une relative discrétion, INC Ransomware s'est métamorphosé en l'une des opérations cybercriminelles les plus redoutables de 2026. Selon une analyse publiée le 18 juin 2026 par The Hacker News, basée sur des recherches des équipes d'Acronis, le groupe revendique désormais plus de 830 victimes depuis ses débuts, et s'est hissé au quatrième rang mondial des groupes RaaS (Ransomware-as-a-Service) au premier trimestre 2026.

Pour contextualiser cette ascension, INC a bénéficié d'un contexte géopolitique et criminel favorable : le démantèlement de LockBit par les autorités en février 2024 et la fermeture du groupe BlackCat/ALPHV en mars 2024 ont libéré un vivier d'affiliés expérimentés en quête d'une nouvelle plateforme de distribution. Ces affiliés, dotés d'une expertise technique avancée et d'accès existants à des réseaux compromis, ont trouvé dans INC une infrastructure opérationnelle mature leur permettant de monétiser rapidement leurs accès sans avoir à reconstruire une chaîne d'outils depuis zéro.

Au premier trimestre 2026, INC a enregistré plus de 120 incidents confirmés sur son portail de divulgation, derrière Qilin (338 victimes), Akira (197) et The Gentlemen (192). Cette position de quatrième acteur mondial, dans un écosystème où des dizaines de groupes se disputent les parts de marché, témoigne d'une professionnalisation remarquable de l'opération. Selon Dark Reading, INC doit sa durabilité à la maîtrise des fondamentaux opérationnels : une infrastructure de commande et de contrôle résiliente, un support technique aux affiliés, et des processus de négociation structurés avec les victimes.

Sur le plan technique, INC a réalisé une transformation majeure de ses outils. Les encrypteurs Windows et Linux/ESXi, initialement écrits dans des langages plus courants, ont été intégralement réécrits en Rust. Ce choix n'est pas anodin : Rust offre une meilleure résistance à la rétro-ingénierie, rend l'analyse statique plus difficile pour les outils de détection automatisée, et facilite le développement cross-platform. Un même code peut ainsi cibler des systèmes Windows, des serveurs Linux et des hyperviseurs VMware ESXi — cibles de choix pour paralyser des environnements virtualisés d'entreprise en un seul coup, en chiffrant simultanément des dizaines ou des centaines de machines virtuelles.

La double extorsion est le modèle économique central d'INC : avant de déclencher le chiffrement, les affiliés exfiltrent systématiquement les données vers l'infrastructure des attaquants. Les victimes se retrouvent alors face à deux pressions simultanées — payer pour récupérer l'accès à leurs systèmes chiffrés, et payer pour éviter la publication de leurs données confidentielles sur le portail de divulgation public d'INC. Selon GBHackers, le groupe utilise également les imprimantes réseau des victimes pour imprimer physiquement les notes de rançon, une tactique psychologique visant à amplifier la visibilité interne de l'incident et à accroître la pression sur les décideurs de l'organisation ciblée.

La géographie des victimes révèle une concentration massive sur les États-Unis, qui représentent plus de 65 % des victimes déclarées. Les secteurs les plus touchés comprennent les services juridiques, la fabrication industrielle, la construction, la technologie et les soins de santé. Ces secteurs partagent une caractéristique commune : ils génèrent des données critiques et sensibles — contrats, propriété intellectuelle, dossiers médicaux, plans de production — dont la divulgation publique est particulièrement dommageable sur le plan réputationnel et réglementaire.

Le vecteur d'intrusion initial privilégié par INC combine plusieurs méthodes documentées. L'exploitation de vulnérabilités publiques dans les VPN et équipements périmètriques constitue le vecteur primaire, complétée par l'utilisation d'identifiants volés achetés sur des forums cybercriminels (Initial Access Brokers) et par des campagnes de phishing ciblé. Une fois dans le réseau, les affiliés procèdent à une phase de reconnaissance et de mouvement latéral pouvant s'étendre sur plusieurs semaines avant le déclenchement du chiffrement, maximisant ainsi l'étendue du réseau compromis et l'impact potentiel sur la victime.

La gestion du portail de divulgation d'INC est particulièrement soignée : les données sont publiées progressivement, par tranches, pour maintenir la pression sur les victimes en cours de négociation. Cette stratégie de divulgation graduelle — typique des opérations RaaS les plus matures — est un gage de professionnalisme qui attire de nouveaux affiliés expérimentés, créant un cercle vertueux pour le groupe criminel et accroissant continuellement sa capacité opérationnelle.

Pourquoi c'est important

L'émergence d'INC Ransomware comme acteur de premier plan en 2026 illustre une tendance structurelle dans l'écosystème cybercriminel : la professionnalisation et la consolidation du marché RaaS. Le démantèlement de LockBit n'a pas mis fin au ransomware ; il a créé un vide que des opérations plus discrètes mais tout aussi efficaces se sont empressées de combler. INC représente la nouvelle génération de groupes RaaS : moins exposés médiatiquement que LockBit ou BlackCat dans leurs premières années, mais techniquement sophistiqués et opérationnellement rigoureux, ce qui les rend plus difficiles à démanteler.

La réécriture des encrypteurs en Rust est un signal d'alarme technique pour les équipes de cybersécurité défensive. Les outils de détection basés sur des signatures ou des comportements propres aux implémentations précédentes devront être mis à jour. Les solutions de sandboxing qui analysent les binaires Rust peuvent rencontrer des difficultés supplémentaires liées à la nature du binaire compilé, notamment la taille plus importante des exécutables et l'absence de dépendances externes qui complique l'analyse comportementale dynamique. Pour les équipes SOC, les règles de détection ciblant les variantes antérieures peuvent ne plus être suffisantes pour identifier les nouvelles versions.

La concentration sur le secteur de la santé mérite une attention particulière dans le contexte réglementaire français et européen. Les établissements de santé sont soumis à des obligations de notification strictes sous le RGPD et sous la directive NIS2, avec des délais de 72 heures pour notifier les autorités compétentes comme la CNIL et l'ANSSI en cas d'incident significatif. Un ransomware ciblant des dossiers médicaux génère quasi-systématiquement une violation de données au sens du RGPD, avec des conséquences potentiellement lourdes en termes d'amendes et d'obligations de notification aux personnes concernées.

Pour les organisations françaises, le profil de ciblage d'INC — services professionnels, industrie, technologie, santé — correspond précisément aux secteurs couverts par NIS2 et ses entités essentielles ou importantes. Les incidents INC documentés aux États-Unis doivent être vus comme des signaux d'alerte pour des secteurs équivalents en Europe. L'ANSSI recommande systématiquement de segmenter les réseaux, de maintenir des sauvegardes hors ligne testées régulièrement, et de prioriser la correction des vulnérabilités dans les équipements d'accès distant — trois mesures directement opposables aux tactiques documentées d'INC Ransomware.

Ce qu'il faut retenir

• INC Ransomware a atteint 830+ victimes en moins de trois ans, devenant le 4e groupe RaaS mondial grâce au recrutement d'affiliés issus des anciens groupes LockBit et BlackCat.
• La migration du code vers Rust rend la détection plus difficile et le ciblage multiplateforme Windows/Linux/ESXi plus efficace.
• Les secteurs santé, juridique et industriel doivent renforcer la segmentation réseau, les sauvegardes hors ligne et la gestion des vulnérabilités sur leurs équipements d'accès distant.