Kasperskyの脅威インテリジェンスチームはこのたび、ランサムウェア攻撃グループの中でも多数の被害を生み出しているContiやLockbit2.0など八つのグループが攻撃の際に利用している最も一般的な戦術、技術、手順（TTPs）について分析した結果を、約140ページの実用ガイド「Common TTPs of modern ransomware groups」（英語版）にまとめました。分析からは、異なるグループでサイバーキルチェーンの半分以上が共通しており、攻撃の中核となる段階については全く同じ手法で実行していることが判明しました。最新のランサムウェアに関する今回の重要な分析結果は、ランサムウェア攻撃グループの手口や対策を理解する手引きとなります。

　当社の脅威インテリジェンスチームは、米国の非営利の研究開発組織であるMITREのナレッジベース「ATT&CK」に掲載されている技術や戦術が、ランサムウェアグループではどのように使われているのかを分析しました。対象としたランサムウェアグループは、Conti/Ryuk、Pysa、Clop（TA505）、Hive、Lockbit2.0、RagnarLocker、BlackByte、BlackCatです。これらのグループは、米国、英国、ドイツで活動し、2021年3月から2022年3月の間で、製造業、ソフトウェア開発といった業界や、中小企業など500社以上を標的にしています。分析の結果、サイバーキルチェーン全体を通して、各グループのTTPsに多くの類似点があることを発見しました。明らかになった攻撃方法は、企業ネットワークや被害者のコンピューターに侵入し、マルウェアを配布、ほかのデバイスを探索、認証情報へアクセス、シャドウコピーやバックアップの消去、目的を達成、という特定のパターンに従っており、極めて予測可能であることが分かりました。

　これらの分析結果をまとめた約140ページからなる本ガイドでは、ランサムウェア開発の各段階、サイバー犯罪者が好むツールの使用方法、そして、犯罪者たちが達成しようとしている目的について説明しています。併せて、標的を絞ったランサムウェア攻撃を防ぐ方法や汎用的に使用できるMITRE ATT&CKに準拠したSigmaルール（※）についても掲載しており、攻撃対策を構築する際にも参考にできます。

　本ガイドの対象読者としては、SOCアナリスト、脅威検知チーム、サイバー脅威インテリジェンスアナリスト、デジタルフォレンジックスペシャリスト、インシデント対応プロセスに関わりのあるサイバーセキュリティスペシャリストや、自分が担当している環境を標的型ランサムウェア攻撃から守りたいと考えている人を想定しています。

※ Sigma検知ルール：ログから特定のパターンやパラメータを用いて悪性な挙動を検知するためのルール