INC Ransom uderza w ochronę zdrowia w Oceanii. Rosnące zagrożenie dla sektora krytycznego

Wprowadzenie do problemu / definicja

INC Ransom to grupa działająca w modelu ransomware-as-a-service, której aktywność została powiązana z kampaniami wymierzonymi w organizacje ochrony zdrowia oraz inne podmioty o znaczeniu krytycznym. Najnowsze ostrzeżenia instytucji cyberbezpieczeństwa z Australii, Nowej Zelandii i Tonga pokazują, iż zagrożenie w Oceanii przestało mieć charakter incydentalny i stało się problemem operacyjnym o skali regionalnej.

W praktyce oznacza to ryzyko nie tylko szyfrowania systemów, ale również kradzieży danych medycznych, zakłóceń pracy placówek oraz przerw w świadczeniu usług publicznych. Dla sektora zdrowotnego, gdzie ciągłość działania ma bezpośredni wpływ na bezpieczeństwo pacjentów, skutki takich ataków mogą być szczególnie dotkliwe.

W skrócie

INC Ransom koncentruje się na organizacjach, których niedostępność systemów gwałtownie przekłada się na presję operacyjną i finansową. W Oceanii szczególnie mocno zagrożony jest sektor ochrony zdrowia, w tym placówki medyczne i instytucje publiczne odpowiedzialne za usługi zdrowotne.

• Atakujący wykorzystują zakupione dane dostępowe, spear phishing oraz znane podatności w systemach dostępnych z Internetu.
• Po uzyskaniu dostępu prowadzą ruch boczny, eskalują uprawnienia i eksfiltrują dane.
• Dopiero na końcowym etapie uruchamiane jest szyfrowanie systemów.
• Model działania opiera się na podwójnym wymuszeniu: blokadzie systemów i groźbie ujawnienia skradzionych informacji.

Kontekst / historia

Wcześniejsza aktywność INC Ransom była kojarzona głównie z celami w Stanach Zjednoczonych i Wielkiej Brytanii. Z czasem operatorzy rozszerzyli zasięg działania na Australię, a następnie na kolejne państwa regionu Pacyfiku. Taki rozwój wskazuje na świadome poszukiwanie środowisk, w których skuteczny atak może wywołać ponadprzeciętną presję na ofiarę.

Istotnym momentem było wspólne ostrzeżenie opublikowane 6 marca 2026 roku przez Australian Cyber Security Centre, nowozelandzkie National Cyber Security Centre oraz CERT Tonga. Komunikat wskazał, iż infrastruktura Australii, Nowej Zelandii i państw wyspiarskich Pacyfiku znajduje się w obszarze zainteresowania grupy i jej afiliantów.

W Australii odnotowano serię incydentów przypisywanych INC Ransom w okresie od lipca 2024 do grudnia 2025 roku. W Nowej Zelandii opisywano przypadek ataku na organizację medyczną obejmujący zarówno szyfrowanie systemów, jak i kradzież danych. W Tonga skutki incydentu dotknęły krajową infrastrukturę zdrowotną, pokazując, iż choćby pojedynczy atak może mieć wymiar systemowy.

Analiza techniczna

Techniczny obraz operacji INC Ransom nie wskazuje na wykorzystanie przełomowych metod. Skuteczność kampanii wynika przede wszystkim z konsekwentnego używania sprawdzonych technik dostępu początkowego oraz wykorzystywania słabo zabezpieczonych środowisk.

Najczęściej obserwowane wektory wejścia obejmują zakup skompromitowanych kont od brokerów początkowego dostępu, ukierunkowany spear phishing oraz wykorzystanie znanych podatności w publicznie wystawionych urządzeniach i usługach. Po uzyskaniu footholdu operatorzy przechodzą do rozpoznania środowiska i ruchu bocznego.

Typowy łańcuch ataku obejmuje identyfikację systemów krytycznych, przejęcie kont uprzywilejowanych, dostęp do serwerów plików, systemów kopii zapasowych i hostów administracyjnych. Następnie wdrażane są narzędzia pomocnicze, często legalne lub powszechnie używane administracyjnie, służące do kompresji danych, ich transferu poza organizację oraz przygotowania etapu szyfrowania.

Charakterystyczne dla tego modelu jest to, iż ransomware nie zawsze jest pierwszym celem. Równie istotna staje się eksfiltracja danych osobowych i medycznych, w tym informacji identyfikujących pacjentów oraz danych objętych szczególną ochroną. W rezultacie incydent staje się nie tylko problemem dostępności systemów, ale także naruszeniem poufności i integralności informacji.

Dodatkowym wyzwaniem dla obrońców jest model afiliacyjny. Poszczególni partnerzy grupy mogą stosować odmienne narzędzia i harmonogram działań, ale rdzeń operacji pozostaje podobny: szybkie wejście, eskalacja uprawnień, eksfiltracja danych, szyfrowanie i presja negocjacyjna.

Konsekwencje / ryzyko

Dla ochrony zdrowia skutki takich incydentów są wyjątkowo poważne. Zakłócenie działania systemów rejestracji, dokumentacji medycznej, laboratoriów czy komunikacji między jednostkami może bezpośrednio wpływać na ciągłość opieki nad pacjentem. Atak ransomware w tym środowisku staje się więc problemem nie tylko technicznym, ale także operacyjnym.

• Niedostępność systemów klinicznych i administracyjnych.
• Wyciek danych osobowych oraz dokumentacji medycznej.
• Ryzyko wtórnych oszustw i kradzieży tożsamości po publikacji danych.
• Wysokie koszty przestoju, odtworzenia środowiska i obsługi incydentu.
• Możliwe sankcje regulacyjne oraz odpowiedzialność prawna.
• Utrata zaufania pacjentów, partnerów i instytucji publicznych.

W mniejszych państwach lub w organizacjach o scentralizowanej infrastrukturze skala wpływu może być nieproporcjonalnie duża. jeżeli pojedynczy resort lub centralny operator odpowiada za znaczną część usług zdrowotnych, sukces atakującego może przełożyć się na jednoczesne zakłócenie działania wielu jednostek.

Rekomendacje

Obrona przed INC Ransom nie wymaga egzotycznych technologii, ale konsekwentnego stosowania podstawowych kontroli bezpieczeństwa oraz dyscypliny operacyjnej. najważniejsze znaczenie ma ograniczenie możliwości uzyskania dostępu początkowego i szybkie wykrywanie nietypowej aktywności.

• Wdrożenie wieloskładnikowego uwierzytelniania dla dostępu zdalnego, kont uprzywilejowanych i usług krytycznych.
• Ograniczenie ekspozycji usług do Internetu oraz przegląd wszystkich publicznie dostępnych systemów.
• Przyspieszenie procesu zarządzania podatnościami i usuwania znanych luk.
• Monitorowanie anomalii logowania, użycia kont serwisowych i nietypowych ścieżek eskalacji uprawnień.
• Segmentacja sieci, szczególnie między strefą użytkowników, systemami administracyjnymi i środowiskami medycznymi.
• Wdrożenie zasady najmniejszych uprawnień i ograniczenie liczby stałych kont administratorów.

Równie istotna jest odporność organizacji na skutki incydentu. Obejmuje to utrzymywanie kopii zapasowych offline lub logicznie odseparowanych, regularne testowanie odtwarzania systemów, przygotowanie procedur izolacji hostów oraz opracowanie planu reagowania na ransomware z udziałem działów IT, bezpieczeństwa, prawnego i kierownictwa.

W środowiskach medycznych szczególne znaczenie ma również inwentaryzacja urządzeń i zależności pomiędzy systemami klinicznymi. Bez tej wiedzy trudno skutecznie ustalić priorytety ochrony oraz kolejność odtwarzania usług po incydencie.

Podsumowanie

Kampania INC Ransom przeciwko podmiotom ochrony zdrowia w Oceanii pokazuje, iż ransomware pozostaje jednym z najbardziej opłacalnych modeli cyberprzestępczości. W analizowanych incydentach nie widać rewolucyjnych technik, ale bardzo skuteczne wykorzystanie znanych słabości: przejętych poświadczeń, niezałatanych podatności, nadmiernych uprawnień i niewystarczającej segmentacji.

Najważniejszy wniosek jest prosty: ryzyko ransomware w ochronie zdrowia nie wynika wyłącznie z samego malware, ale z całego łańcucha kompromitacji, który zaczyna się od podstawowych zaniedbań. Organizacje, które traktują higienę bezpieczeństwa jako proces ciągły, mają największą szansę przerwać ten łańcuch, zanim dojdzie do eksfiltracji danych i szyfrowania systemów.

Źródła

1. https://www.darkreading.com/threat-intelligence/inc-ransomware-healthcare-oceania
2. https://www.cyber.gov.au/about-us/view-all-content/news/inc-ransom-and-affiliate-network-operating-in-australia-new-zealand-and-the-pacific-island-states
3. https://www.ncsc.govt.nz/alerts/inc-ransom-affiliate-model-enabling-targeting-of-critical-networks/
4. https://cert.gov.to/wp-content/uploads/2025/06/CERT-Tonga-Advisory_INC_Ransomware_v1.0.pdf