カスペルスキー、有名なランサムウェアグループの手法に関する実用ガイド「Common TTPs of modern ransomware groups」を公開
- 2022/07/08 10:00
- SecurityInsight
カスペルスキーは7月6日、ランサムウェア攻撃グループの中でも多数の被害を生み出しているContiやLockbit2.0など8つのグループが攻撃の際に利用している最も一般的な戦術、技術、手順(TTPs)について、同社の脅威インテリジェンスチームが分析した約140ページの実用ガイド「Common TTPs of modern ransomware groups」(英語版)を公開した。その概要は以下のとおり。
分析の対象としたランサムウェアグループは、Conti/Ryuk、Pysa、Clop(TA505)、Hive、Lockbit2.0、RagnarLocker、BlackByte、BlackCat。これらのグループは米国、英国、ドイツで活動し、2021年3月から2022年3月の間で、製造業、ソフトウェア開発といった業界や、中小企業など500社以上を標的にしている。
分析の結果、サイバーキルチェーン全体を通して、各グループのTTPsに多くの類似点があることを発見。明らかになった攻撃方法は、企業ネットワークや被害者のコンピューターに侵入し、マルウェアを配布、ほかのデバイスを探索、認証情報へアクセス、シャドウコピーやバックアップの消去、目的を達成、という特定のパターンに従っており、極めて予測可能であることが分かった。
これらの分析結果をまとめたこのガイドでは、ランサムウェア開発の各段階、サイバー犯罪者が好むツールの使用方法、そして、犯罪者たちが達成しようとしている目的について説明している。
併せて、標的を絞ったランサムウェア攻撃を防ぐ方法や汎用的に使用できるMITRE ATT&CKに準拠したSigmaルールについても掲載しており、攻撃対策を構築する際にも参考にできるとしている。