- Vi ser et parallelt ‘samfund’, hvor der opereres med jobopslag, interne regelsæt og loyalitetssystemer. Det er organiseret, effektivt og teknisk avanceret – og det udgør en reel trussel mod virksomheder og borgere også i Danmark, siger Andreas Christensen, der er regional director for Trend Micro i Norden.

Centrale fund fra rapporten

Overvågning og fysisk chikane som "as-a-service" i cyberunderverdenen

Cyberkriminelle tilbyder både fysisk vold, trusselsopkald og avancerede HUMINT-tjenester (Human Intelligence), som blandt andet inkluderer overvågning via byers kameraer i fx Moskva og Skt. Petersborg. Ved hjælp af et foto og fødselsdato kan individer spores og identificeres. Priserne starter ved 100 USD.

Russisktalende fora rekrutterer tysktalende svindlere til EU-baserede opgaver

Et jobopslag på et russisktalende undergrundsforum tilbyder 2.000 euro om måneden for at udføre telefonbedrageri på tysk med arbejdstider fra 9–17. Stillingen er en del af et mønster, hvor aktører fra den russisktalende cyberundergrund udvider deres aktiviteter til Europa og søger lokalt sprogkyndigt personale til udførelsen.

Web3-svindel giver nytilkomne kriminelle adgang til store gevinster

En gruppe i den russisktalende undergrund tjente 300.000 USD på Web3-svindel i oktober 2023 alene. Gruppen udgav sig for at repræsentere NFT-projekter og lokkede ofre via bl.a. Discord og Twitter til at dele adgang til deres digitale aktiver. Svindlen var automatiseret og blev udført af en cyberkriminel med kun seks måneders erfaring. Ifølge Trend Micro illustrerer det, hvor hurtigt også nye aktører kan opnå store gevinster – med globale konsekvenser. Web3 dækker over en ny generation af internettjenester, hvor brugere ejer og handler med digitale aktiver via decentraliserede teknologier som blockchain, kryptovaluta og NFT’er.

Deepfakes og AI bruges til at skabe falske identiteter

Kriminelle fra den russisktalende cyberundergrund anvender nu AI-teknologi og biometriske data til at omgå sikkerhedsløsninger som tofaktor-autentifikation (2FA) og til at oprette overbevisende falske identiteter. Ved at kombinere lækkede personoplysninger (PII) og billeder fra sociale medier med AI-genererede deepfakes kan de skabe digitale identiteter, der kan bruges til både økonomisk svindel, afpresning og infiltration af konti.

Kinesiske og russiske grupper samarbejder om angreb

Et af de mest opsigtsvækkende fund i rapporten er, at der nu ses en systematisk samarbejdstendens mellem kinesisktalende og russisktalende cyberkriminelle. De to grupper deler værktøjer, sårbarheder og adgang – eksempelvis ses kinesiske aktører optræde som initial access brokers (dem, der først får adgang til kompromitterede systemer), som så videreformidler adgang på russiske fora.

Ransomware forbudt – men stadig i omløb

Ransomware – software, der krypterer og låser data og frigiver dem mod løsepenge – er blevet så belastet et emne i den russisktalende undergrund, at det nu er forbudt at omtale på mange fora. Det skyldes den øgede opmærksomhed og efterforskning fra internationale myndigheder. Men selvom ransomware er “tabu”, lever det videre i praksis.

Markedsplads med “etik” og omdømme

Den russisktalende cyberundergrund fungerer efter interne regler, socialt hierarki og et stærkt omdømmesystem. Det betyder, at:

• Brugere får ratings og anmeldelser, som på eBay
• Der er forbud mod visse emner (fx ransomware og interne stridigheder)
• Der findes moderatorer, mægling og depositumordninger
• Nogle fora tilbyder endda psykologisk rådgivning for medlemmer

Samtidig er det moralske kompas selektivt: Det er accepteret at begå svindel mod vestlige mål, men “man arbejder ikke i Rusland”.