Rapporten från Trend Micro beskriver hur kriminella grupper alltmer börjar anamma ett organisationsbeteende som liknar legitima företags när de växer sig större. Rapporten belyser även vikten av att de som utreder cyberkriminalitet måste förstå storleken på de kriminella grupper de har att göra med.
En genomsnittlig, stor cyberkriminell organisation lägger 80 procent av sina driftskostnader på löner till anställda. Andelen är i stort sett samma för små kriminella grupper, 78 procent. Andra vanliga utgifter är infrastruktur så som servrar, routrar och VPN, virtuella maskiner och programvara som behövs och används inom organisationen.
– Den cyberkriminella världen professionaliseras snabbt – grupper har börjat efterlikna legitima företag vartefter de växer i storlek, komplexitet och då intäkterna ökar. Dock är det så, precis som i det legitima företagslandskapet, att större cyberkriminella organisationer kan vara svårare att styra och har mer ’internpolitik’ och förtroendeproblem, säger Jean Diarbakerli, säkerhetsrådgivare på Trend Micro.
Rapporten beskriver tre typer av kriminella grupper baserat på storlek, med hjälp av exempel där data samlats in från brottsbekämpande myndigheter och insiderinformation:
Små cyberkriminella företag (till exempel Scan4You):
- Har generellt bara ett lager av styrning, 1–5 anställda, och under 500 000 dollar i årlig omsättning.
- Medlemmarna hanterar ofta flera uppgifter inom gruppen och har även ett vanligt arbete utöver detta.
- Denna typ innefattar majoriteten av kriminella företag, ofta i partnerskap med andra kriminella enheter.
Medelstora cyberkriminella företag (till exempel värdtjänsten MaxDedi):
- Har generellt en organisationsstruktur i två lager, 6–49 anställda, och upp till 50 miljoner dollar i årlig omsättning.
- De har vanligtvis en hierarkisk pyramidstruktur med en ansvarig på toppen av organisationen.
Stora cyberkriminella företag (till exempel ransomwaregruppen Conti):
- Har generellt en organisation i tre lager, med över 50 anställda och över 50 miljoner dollar i årlig omsättning.
- Har ett relativt stort antal lägre ledarpositioner och arbetsledare.
- Har en effektiv operationssekretess och samarbetar med andra kriminella grupper.
- De ansvariga är rutinerade cyberbrottslingar och anställer flera utvecklare, administratörer och penetrationstestare – inklusive frilansare med korttidskontrakt.
- De kan även ha andra avdelningar likt vanliga företag, så som IT och HR, och till och med medarbetarprogram, så som utvecklingsutvärderingar.
Enligt rapporten, så kan det vara viktigt att känna till storleken och komplexiteten hos en kriminell organisation då det ger viktiga ledtrådar för utredare, så som vilken typ av data de ska leta efter. Större kriminella enheter kan till exempel lagra personallistor, bokslut, företagsguider/handledningar, information om anställdas kryptoplånböcker och till och med delade kalendrar.
Att förstå storleken på kriminella organisationer underlättar även för brottsbekämpande myndigheter att prioritera vilka grupper de bör fokusera på för maximal effekt, betonas det i rapporten.