—【概要】—
Kasperskyの脅威インテリジェンスチームはこのたび、ランサムウェア攻撃グループの中でも多数の被害を生み出している ContiやLockbit2.0など八つのグループが攻撃の際に利用している最も一般的な戦術、技術、手順(TTPs)について分析した結果を、約140ページの実用ガイド「Common TTPs of modern ransomware groups」(英語版)にまとめました。分析からは、異なるグループでサイバーキルチェーンの半分以上が共通しており、攻撃の中核となる段階については全く同じ手法で実行していることが判明しました。最新のランサムウェアに関する今回の重要な分析結果は、ランサムウェア攻撃グループの手口や対策を理解する手引きとなります。
————–
当社の脅威インテリジェンスチームは、米国の非営利の研究開発組織であるMITREのナレッジベース「ATT&CK」に掲載されている技術や戦術が、ランサムウェアグループではどのように使われているのかを分析しました。対象としたランサムウェアグループは、Conti/Ryuk、Pysa、Clop(TA505)、Hive、Lockbit2.0、RagnarLocker、BlackByte、BlackCatです。これらのグループは、米国、英国、ドイツで活動し、2021年3月から2022年3月の間で、製造業、ソフトウェア開発といった業界や、中小企業など500社以上を標的にしています。
分析の結果、サイバーキルチェーン全体を通して、各グループのTTPsに多くの類似点があることを発見しました。明らかになった攻撃方法は、企業ネットワークや被害者のコンピューターに侵入し、マルウェアを配布、ほかのデバイスを探索、認証情報へアクセス、シャドウコピーやバックアップの消去、目的を達成、という特定のパターンに従っており、極めて予測可能であることが分かりました。
これらの分析結果をまとめた約140ページからなる本ガイドでは、ランサムウェア開発の各段階、サイバー犯罪者が好むツールの使用方法、そして、犯罪者たちが達成しようとしている目的について説明しています。併せて、標的を絞ったランサムウェア攻撃を防ぐ方法や汎用的に使用できるMITRE ATT&CKに準拠したSigmaルール※についても掲載しており、攻撃対策を構築する際にも参考にできます。
本ガイドの対象読者としては、SOCアナリスト、脅威検知チーム、サイバー脅威インテリジェンスアナリスト、デジタルフォレンジックスペシャリスト、インシデント対応プロセスに関わりのあるサイバーセキュリティスペシャリストや、自分が担当している環境を標的型ランサムウェア攻撃から守りたいと考えている人を想定しています。
ランサムウェアを用いた攻撃に類似点がある理由について、脅威インテリジェンスチームは次のように説明しています。
・「サービスとしてのランサムウェア(RaaS)」が出現、ランサムウェアグループが自分たちでマルウェアを配布するのではなく、データ暗号化部分のみを行う。悪意のあるファイルを配布する側も手間を減らすために、テンプレート化した配布方法や自動化ツールを利用して、アクセスを取得している。
・古いツールや似たようなツールを再利用することで、攻撃者の手間が省けるほか、攻撃の準備にかかる時間も短縮できる。
・一般的なTTPsを再利用することでハッキングが容易になる。このような手法は検知可能であるが、考えられる全ての脅威ベクトルに対して予防的に対処することは、はるかに困難である。
・被害者のソフトウェアアップデートやパッチの適用の遅れ。サイバー攻撃では脆弱(ぜいじゃく)性がしばしば狙われる。
Kasperskyの脅威インテリジェンスグループでチームリーダーを務めるニキータ・ナザロフ(Nikita Nazarov)は、次のように述べています。「ランサムウェアは開発や改善が継続的に行われており、サイバーセキュリティ業界全体にとって、ここ数年で悪夢と化しています。攻撃側と防衛側の競争において優勢を保つために、ランサムウェアグループを一つ一つ調べそれぞれの活動や動向を追跡することは、サイバーセキュリティの専門家にとって、時間がかかり骨の折れる作業であることも多いです。私たちは長年にわたり、さまざまなランサムウェアグループの活動を追跡、分析しており、膨大な分析結果を今回のガイドに掲載しています。このガイドを公開する目的は、あらゆる組織で働いているサイバーセキュリティ専門家の役に立ち、その仕事を少しでも容易にすることです」
■ 本実用ガイド「Common TTPs of modern ransomware groups」は、Securelistブログ(英語)「The hateful eight: Kaspersky’s guide to modern ransomware groups’ TTPs」からダウンロードしていただけます。
https://securelist.com/modern-ransomware-groups-ttps/106824/
ご自身と企業をランサムウェア攻撃から守るために、当社は次のことを提案しています。
・RDPなどのリモートデスクトップサービスを、どうしても必要な場合以外はパブリックネットワークに接続しないようにし、常に強力なパスワードを設定する。
・遠隔地の従業員にアクセスを提供し、ネットワークでゲートウェイとして機能する商用VPNソリューションには、利用可能なパッチを速やかに適用する。
・ランサムウェアに脆弱性を突かれないために、使用している全デバイスでソフトウェアを常に最新版にする。
・水平展開とデータのインターネットへのデータ持ち出しの検知に重点を置いた防御戦略を立てる。サイバー犯罪者による接続を検知するため、送信トラフィックには特に注意する。
・データを定期的にバックアップし、必要となった際には即座にバックアップにアクセスできるようにしておく。
※ Sigma検知ルール:ログから特定のパターンやパラメータを用いて悪性な挙動を検知するためのルール
Kaspersky について
Kasperskyは、1997年に設立されたグローバルで事業を展開するサイバーセキュリティ企業です。Kasperskyが有する深く高度な脅威インテリジェンスとセキュリティの専門性は、常に当社の革新的なセキュリティソリューションやサービスに反映され、世界中の企業、政府機関、重要インフラから個人のお客様までを保護しています。高度に進化するデジタル脅威に対抗するため、先進のエンドポイント保護製品をはじめ、多くのソリューションとサービスを包括するセキュリティポートフォリオを提供しています。当社のテクノロジーは、4億人以上のユーザーを保護し、24万の企業や組織の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jp をご覧ください。