Cybersikkerhetsselskapet Trend Micro publiserte nylig ny forskning som viser hvordan cyberkriminelle grupper begynner å opptre som vanlige selskaper etter hvert som de vokser seg større, og at veksten kommer med medfølgende kostnader og utfordringer.

– Den cyberkriminelle undergrunnen profesjonaliseres i et raskt tempo, hvor grupperingene begynner å ligne mer og mer på legitime virksomheter som opplever de samme utfordringene som vekst gjerne fører med seg. Forskningen viser også at større cyberkriminelle organisasjoner gjerne sliter enda mer med å håndtere vekst, hvor spesielt intern politikk, dårlige prestasjoner og manglende tillit stikker kjepper i hjulene, sier kommunikasjonssjefen i Trend Micro Norge, Karianne Myrvold.

Lønninger og IT-utstyr
Mens en typisk stor cyberkriminell virksomhet bruker 80 prosent av sine driftskostnader på lønninger, er andelen for mindre cyberkriminelle virksomheter 78 prosent. Andre vanlige utgifter inkluderer infrastruktur (servere/rutere/VPN-er), virtuelle maskiner og programvare, ifølge Trend Micro sin rapport.

Studien skisserte tre typer virksomheter basert på størrelse, ved hjelp av eksempler hvor Trend Micro hadde samlet inn data fra politiet i tillegg til intern informasjon.

Små cyberkriminelle virksomheter (for eksempel Scan4You):

• Normalt ett ledelseslag, 1-5 ansatte og under 500 000 dollar i årlig omsetning
• Medlemmene håndterer ofte flere oppgaver innenfor gruppen og har også en dagjobb i tillegg
• Representerer flertallet av disse kriminelle virksomhetene og samarbeider ofte med andre kriminelle enheter

Mellomstore kriminelle virksomheter (for eksempel MaxDedi):

• Typisk to ledelseslag, 6-49 ansatte og opptil 50 millioner dollar i årlig omsetning
• Virksomhetene har ofte en hierarkisk struktur med én person som leder

Store kriminelle virksomheter (for eksempel løsepenge-gruppen Conti):

• Typisk tre ledelseslag, relativt mange mellomledere og veiledere, mer enn 50 ansatte og mer enn 50 millioner dollar i årlig omsetning
• Virksomhetene implementerer effektiv OPSEC og samarbeider med andre kriminelle organisasjoner
• De ansvarlige er erfarne cyberkriminelle og ansetter utviklere, administratorer og penetrasjonstestere – inkludert kortsiktige kontraktører
• Har ofte virksomhetslignende avdelinger (f.eks. IT, HR) og har ofte etablert egne ansattprogrammer, inkludert prestasjonsvurderinger

Størrelse er viktig

Ifølge rapporten kan det å vite størrelsen og kompleksiteten til de cyberkriminelle virksomhetene, gi viktige ledetråder for etterforskerne. Det gjør det ikke minst mye enklere å vite hvilke typer data etterforskerne skal se etter, det være seg lister over ansatte, regnskapsbøker, delte kalendere eller informasjon om de ansattes kryptolommebøker.

Det å forstå størrelsen på de cyberkriminelle virksomhetene hjelper også politimyndighetene med å prioritere hvilke cyberkriminelle grupper etterforskerne skal fokusere på for maksimal effekt og best mulig resultat.

– At en typisk stor cyberkriminell virksomhet bruker 80 prosent av driftskostnadene på lønninger, viser hvor avgjørende det menneskelige aspektet er i disse virksomhetene. Rapporten understreker hvor viktig det er for etterforskerne å forstå virksomhetsstørrelsen, slik at de kan tilpasse sine strategier og prioritere hvilke grupper som bør forfølges for å oppnå maksimal innvirkning i kampen mot cyberkriminalitet, påpeker Myrvold.