Enligt Trend Micros nyligen publicerade rapport visar deras senaste kartläggning av cyberkriminella grupper att deras verksamhet alltmer börjar likna den hos legitima företag. Rapporten påpekar att kriminella grupper nu använder organisationsbeteenden som är liknande de som används av legitima företag när de växer i storlek. Det betonas också att det är viktigt för de som utreder cyberkriminalitet att förstå storleken på de kriminella grupperna de har att göra med.
En genomsnittlig stor cyberkriminell organisation lägger cirka 80 procent av sina driftskostnader på löner till anställda, vilket även är fallet för små kriminella grupper med en andel på cirka 78 procent. Andra vanliga utgifter inkluderar infrastruktur som servrar, routrar, VPN, virtuella maskiner och programvara som används inom organisationen.
– Den cyberkriminella världen professionaliseras snabbt – grupper har börjat efterlikna legitima företag vartefter de växer i storlek, komplexitet och då intäkterna ökar, säger Jean Diarbakerli, Säkerhetsrådgivare på Trend Micro. Dock är det så, precis som i det legitima företagslandskapet, att större cyberkriminella organisationer kan vara svårare att styra och har mer ’internpolitik’ och förtroendeproblem.
Rapporten beskriver tre typer av kriminella grupper baserat på storlek, med hjälp av exempel där data samlats in från brottsbekämpande myndigheter och insiderinformation.
Små cyberkriminella företag (till exempel Scan4You):
- Har generellt bara ett lager av styrning, 1–5 anställda, och under 500 000 dollar i årlig omsättning.
- Medlemmarna hanterar ofta flera uppgifter inom gruppen och har även ett vanligt arbete utöver detta.
- Denna typ innefattar majoriteten av kriminella företag, ofta i partnerskap med andra kriminella enheter.
Medelstora cyberkriminella företag (till exempel värdtjänsten MaxDedi):
- Har generellt en organisationsstruktur i två lager, 6–49 anställda, och upp till 50 miljoner dollar i årlig omsättning.
- De har vanligtvis en hierarkisk pyramidstruktur med en ansvarig på toppen av organisationen.
Stora cyberkriminella företag (till exempel ransomwaregruppen Conti):
- Har generellt en organisation i tre lager, med över 50 anställda och över 50 miljoner dollar i årlig omsättning.
- Har ett relativt stort antal lägre ledarpositioner och arbetsledare.
- Har en effektiv operationssekretess och samarbetar med andra kriminella grupper.
- De ansvariga är rutinerade cyberbrottslingar och anställer flera utvecklare, administratörer och penetrationstestare – inklusive frilansare med korttidskontrakt.
- De kan även ha andra avdelningar likt vanliga företag, så som IT och HR, och till och med medarbetarprogram, så som utvecklingsutvärderingar.
Rapporten betonar vikten av att utredare förstår storleken och komplexiteten hos en kriminell organisation eftersom det ger ledtrådar om vilken typ av data som kan vara relevant att söka efter. Till exempel kan större kriminella grupper lagra personallistor, bokslut, företagsguider, information om anställdas kryptoplånböcker och delade kalendrar.
Att ha kunskap om storleken på kriminella organisationer kan också hjälpa brottsbekämpande myndigheter att prioritera vilka grupper de bör fokusera på för att få maximal effekt i sina insatser.
För att läsa hela rapporten, Inside the Halls of a Cybercrime Business, se här.