O grupo de ransomware INC tem demonstrado uma estratégia refinada que prioriza a eficiência operacional sobre a complexidade técnica, focando em setores onde a interrupção gera pressão imediata para pagamento, como o de saúde. Esta abordagem, descrita como dominar o básico, revela uma evolução no modus operandi de criminosos cibernéticos que buscam maximizar o retorno sobre o investimento em ataques, ignorando alvos de baixo impacto financeiro.
O que o grupo INC está fazendo agora
A análise recente aponta que o INC não está buscando inovações disruptivas em suas ferramentas de criptografia ou vetores de entrada, mas sim otimizando o processo de negociação e exploração de vulnerabilidades já conhecidas. O foco central é a seleção de alvos que possuem infraestrutura crítica e dependência de sistemas digitais para operação contínua. No setor de saúde, por exemplo, a indisponibilidade de sistemas de prontuário eletrônico ou agendamento pode colocar vidas em risco, criando um ambiente propício para a coerção financeira.
Essa tática de "dominar o básico" implica que o grupo investe tempo em entender profundamente as operações dos alvos antes do ataque. Em vez de varreduras aleatórias, o INC realiza reconhecimento direcionado para identificar pontos de entrada que permitam acesso privilegiado e, subsequentemente, a criptografia de dados sensíveis. A eficácia dessa estratégia reside na previsibilidade do comportamento das vítimas, que tendem a pagar para restaurar a operação rapidamente.
Por que o setor de saúde é o alvo preferencial
O setor de saúde permanece como um dos mais visados globalmente devido à natureza crítica de seus dados e operações. A pressão para pagar o resgate é exacerbada pela necessidade de acesso imediato a dados de pacientes, equipamentos médicos conectados e sistemas de gestão hospitalar. O INC identificou que a interrupção de serviços de emergência ou cirurgias gera um nível de urgência que supera a resistência financeira ou a recusa em negociar.
Além disso, a complexidade regulatória em torno de dados de saúde, como a LGPD no Brasil e o HIPAA nos Estados Unidos, cria um cenário onde a notificação de violação é obrigatória e custosa. O grupo INC explora essa dualidade: o medo da exposição pública e a necessidade operacional imediata. Para os CISOs do setor, isso significa que a segurança não é apenas uma questão técnica, mas uma questão de continuidade de negócios e responsabilidade legal.
As táticas básicas que garantem o sucesso
A estratégia do INC baseia-se em vetores de ataque consolidados, como phishing direcionado (spear phishing) e exploração de credenciais roubadas. A simplicidade é a chave: em vez de desenvolver exploits zero-day complexos, o grupo utiliza ferramentas de acesso remoto legítimas (RMM) comprometidas ou credenciais de administrador obtidas através de listas de vazamentos. Isso reduz o custo de desenvolvimento e aumenta a taxa de sucesso inicial.
Outro pilar dessa tática é a segmentação de rede. Ao comprometer uma única máquina, o INC busca lateralmente mover-se pela rede até encontrar servidores de backup ou sistemas de gestão de dados críticos. A falta de segmentação adequada em muitas organizações de saúde facilita esse movimento, permitindo que o grupo alcance o objetivo final de criptografia em larga escala com menor esforço técnico.
Impacto operacional e pressão para pagamento
O impacto operacional de um ataque bem-sucedido do INC vai além da perda de dados. A paralisação de sistemas de agendamento, farmácia e laboratório pode forçar o cancelamento de procedimentos e a desvio de pacientes para outras unidades, gerando custos operacionais massivos e danos à reputação. A pressão para pagar é calculada com base no tempo de inatividade estimado e no valor dos dados exfiltrados.
Em muitos casos, o grupo oferece um período de negociação onde a vítima pode pagar um valor reduzido para evitar a divulgação pública dos dados. Essa tática de "negociação rápida" é projetada para explorar a ansiedade da liderança executiva e jurídica, que teme as consequências regulatórias e de imagem de um vazamento de dados de saúde.
Recomendações para CISOs do setor de saúde
Diante dessa ameaça, os CISOs devem adotar uma postura proativa que vá além da prevenção tradicional. A implementação de backups imutáveis e isolados da rede é fundamental para garantir a recuperação sem pagamento de resgate. Além disso, a segmentação de rede deve ser rigorosa, limitando o movimento lateral de atacantes que comprometem uma única conta.
A conscientização dos funcionários deve ser contínua e focada em identificar tentativas de phishing direcionadas, que são o vetor primário de entrada. Simulações de ataque e testes de resposta a incidentes devem ser realizados regularmente para validar a capacidade da equipe de conter uma ameaça antes que ela se torne uma crise de ransomware.
Evolução do cenário de ransomware no Brasil
No contexto brasileiro, o cenário de ransomware tem se intensificado, com grupos internacionais e locais operando em sinergia. A legislação de proteção de dados, embora robusta, ainda enfrenta desafios na aplicação prática, o que pode ser explorado por criminosos que ameaçam a exposição de dados sensíveis. O INC e outros grupos observam que a falta de maturidade em segurança cibernética em muitas organizações brasileiras facilita a exploração de vulnerabilidades básicas.
Para o mercado nacional, a lição é clara: a segurança deve ser tratada como um investimento estratégico, não como um custo operacional. A adoção de frameworks de segurança como o NIST ou ISO 27001 pode ajudar a estruturar a defesa contra ameaças que exploram falhas de processos e não apenas de tecnologia.
Perguntas frequentes sobre a ameaça
Qual é a principal vulnerabilidade explorada pelo INC? A principal vulnerabilidade não é técnica, mas processual: a falta de segmentação de rede e a dependência de credenciais privilegiadas não monitoradas.
Como saber se uma organização é alvo? O grupo foca em setores críticos. Se sua organização opera em saúde, energia ou infraestrutura crítica, o risco é elevado independentemente do tamanho.
É seguro pagar o resgate? Não há garantia de recuperação de dados ou de que os dados não serão vendidos. O pagamento financia o crime e não garante a remoção da ameaça.