文章总结： 文章通过INC勒索事件警示企业数据恢复现状：12家企业因攻击者未清理备份而侥幸恢复，非自身能力所致。结合戴尔的韧性债务概念，指出企业普遍高估恢复准备，重预防轻演练。若将运气误认为响应有效，将加剧韧性债务。建议企业必须通过真实的恢复验证消除盲目自信，切实提升数据韧性。 综合评分： 88 文章分类： 数据安全,应急响应,安全运营,恶意软件

勒索后数据恢复只能寄望于攻击者犯错？——从INC勒索事件与“韧性债务”看企业数据恢复的神话

原创

网空闲话 网空闲话

网空闲话plus

2026年1月23日 18:01 北京

2026年1月22日，网络安全公司cybercentaurs披露了一起由INC勒索软件团伙引发的数据恢复事件。这起似乎充满运气的事件引发了关注：12家互不相关的美国公司在未支付赎金的情况下，意外找回了被窃取并加密的数据。然而，这一“成功”并非源于企业自身的恢复能力，而是建立在攻击者复用基础设施、未及时清理备份仓库的失误之上。几乎同时，戴尔发布研究指出，大多数企业所谓的数据恢复计划，实际上并未经过充分验证，只是一种被高估的“信心工程”。戴尔将这种“感知准备度”与“实际恢复能力”之间的结构性差距定义为“韧性债务”。将这两条看似无关的线索并置，可以得出一个令人不安的结论：在当下的勒索软件生态中，企业数据能否恢复，往往不取决于自身准备，而取决于对手是否出错；而这，正是韧性债务长期积累后的必然结果。

一个不该被庆祝的“恢复成功”

2026年1月22日，网络安全公司Cyber Centaurs披露了一起罕见案例：12家互不关联的美国公司，其被INC勒索软件团伙窃取并加密的数据，在未支付赎金的情况下得以恢复。表面看，这是一场难得的胜利；但深入分析后不难发现，这次恢复并非源于防御体系的强大，而是建立在攻击者自身操作失误与习惯性复用基础设施之上。这一事实本身，恰恰揭示了一个残酷现实：在当前勒索软件生态中，受害者想要拿回数据，往往并不取决于自身准备是否充分，而取决于对手是否犯错。

表面上看，Cyber Centaurs介入的这起事件具备所有“教科书式成功响应”的元素：

终端检测与响应系统（EDR）发现异常、攻击进程被迅速隔离、勒索软件家族被准确识别为 RainINC 变种，生产环境避免了进一步破坏。

然而，真正决定事件走向的关键并不在这些标准流程之中。

调查人员是在后续取证阶段，于多个系统中发现了Restic的持续性痕迹，包括被重命名的二进制文件、用于暂存执行的PowerShell脚本、环境变量形式存在的存储库配置，以及基于文件列表驱动的备份命令。这些痕迹表明：在加密发生之前，数据早已被系统性整理、打包，并准备外传。

12家企业之所以最终得以恢复数据，并不是因为这些数据“从未离开”，而是因为它们仍然存放在攻击者控制的云端对象存储中。这意味着，所谓“恢复”，本质上是一次对攻击者遗留资产的重新发现，而非企业自身能力的兑现。

INC并非“犯错一次”，而是暴露出可预测的行为惯性

需要强调的是，INC团伙在此次事件中暴露的问题，并非源于完全的业余或偶发失误。

参考材料清楚显示，INC自2023年7月开始活跃，且在随后的数月内迅速完成了能力扩展，包括推出Linux版本勒索软件，并在不同攻击场景中调整其战术组合。这说明其运作具备持续性与可复制性。

正是在这种背景下，Restic的反复出现才具有分析价值。

Cyber Centaurs并非在单一事件中“碰巧”发现Restic，而是基于多起事件的共性判断，推断该团伙倾向于重复使用基于Restic的对象存储基础设施。这种行为模式在攻击者看来是效率与成本优化，但在防御者看来，却成为少见的突破口。

然而，这种突破口本身并不可复制。正如Cyber Centaurs管理负责人Andrew von Ramin Mapp所承认的那样，这一发现最多只是给攻击者带来“不便”，而非实质性打击，因为云基础设施可以被迅速替换。

合法备份工具如何成为攻击链条的一部分

Restic在本案中的角色，进一步放大了一个长期被低估的问题：备份工具本身，并不天然属于防御阵营。

在攻击链条中，INC利用Restic的方式并不复杂，但极具现实针对性。通过脚本化方式配置存储端点与加密参数，攻击者可以在不触发明显异常的情况下，将数据整理为结构化快照并转移至S3式云存储。这一过程在网络层面与合法备份行为高度相似。

更关键的是，这种行为恰好利用了企业长期形成的“信任假设”——即只要数据是加密的、是通过备份工具传输的，就不被视为高风险流出。

参考材料中明确提到，“可能很少有信息安全领导者意识到他们自己的备份软件被用来对付他们”。这并非认知缺陷，而是一种系统性盲区：恢复工具被默认排除在威胁模型之外。

从个案到结构性问题：恢复能力的集体错觉

当INC案例与戴尔研究并列审视时，其意义开始超出单一事件。

戴尔的研究显示，尽管99%的组织声称拥有正式的网络韧性战略，但这种“战略存在”并未转化为可验证的执行能力。63%的IT领导者认为管理层高估了准备度，这种判断并非源于抽象担忧，而是来自真实演练与事件中的反复失败。

INC案例恰好印证了这一断裂：企业并未在事件中启动一套经过验证的恢复流程，而是在事后发现，数据仍然“躺在某处”。这种结果在形式上看似成功，在本质上却暴露出恢复路径缺位。

韧性债务的积累方式：并非疏忽，而是长期选择

戴尔将这种状态定义为“韧性债务”，其形成并非突然，而是源于一系列看似合理的长期选择。

首先，恢复测试被不断推迟。系统与业务持续变化，但恢复演练却因“成本高”“影响业务”而被压缩频率，最终退化为文档审查。

其次，资源配置向预防倾斜。参考材料指出，全球78%的组织在攻击预防上的投入高于恢复准备。这一选择在短期内看似理性，却使恢复能力成为长期被透支的隐性负债。

最后，对备份系统的想当然信任，使其未被纳入与生产系统同等的安全审视范围。当攻击者开始直接操作这些系统时，企业往往直到恢复失败才意识到问题。

结论

INC事件真正的风险，并不在于攻击本身，而在于它可能被组织内部错误解读。

如果这12家企业将结果归因于“我们的响应是有效的”，那么韧性债务不仅没有被清偿，反而会进一步累积。因为事实恰恰相反：恢复并未发生在企业控制范围之内。

正如戴尔所警告的那样，当恢复能力从未被反复验证，它在关键时刻就只是一种幻觉。INC案例只是这层幻觉偶然未被戳破的一次例外。

参考资源

1、https://www.csoonline.com/article/4121134/ransomware-gangs-slip-up-led-to-data-recovery-for-12-us-firms.html

2、https://cybercentaurs.com/blog/when-ransomware-makes-a-mistake-inside-inc-ransomwares-backup-infrastructure/

3、韧性债务：大多数企业的数据恢复计划都是骗局

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《勒索后数据恢复只能寄望于攻击者犯错？——从INC勒索事件与“韧性债务”看企业数据恢复的神话》