Cybersikkerhetsselskapet Trend Micro publiserte nylig ny forskning som viser hvordan cyberkriminelle grupper begynner å opptre som vanlige selskaper etter hvert som de vokser seg større, og at veksten kommer med medfølgende kostnader og utfordringer.
– Den cyberkriminelle undergrunnen profesjonaliseres i et raskt tempo, hvor grupperingene begynner å ligne mer og mer på legitime virksomheter som opplever de samme utfordringene som vekst gjerne fører med seg. Forskningen viser også at større cyberkriminelle organisasjoner gjerne sliter enda mer med å håndtere vekst, hvor spesielt intern politikk, dårlige prestasjoner og manglende tillit stikker kjepper i hjulene, sier kommunikasjonssjefen i Trend Micro Norge, Karianne Myrvold.
Lønninger og IT-utstyr
Mens en typisk stor cyberkriminell virksomhet bruker 80 prosent av sine driftskostnader på lønninger, er andelen for mindre cyberkriminelle virksomheter 78 prosent. Andre vanlige utgifter inkluderer infrastruktur (servere/rutere/VPN-er), virtuelle maskiner og programvare, ifølge Trend Micro sin rapport.
Studien skisserte tre typer virksomheter basert på størrelse, ved hjelp av eksempler hvor Trend Micro hadde samlet inn data fra politiet i tillegg til intern informasjon.
Små cyberkriminelle virksomheter (for eksempel Scan4You):
- Normalt ett ledelseslag, 1-5 ansatte og under 500 000 dollar i årlig omsetning
- Medlemmene håndterer ofte flere oppgaver innenfor gruppen og har også en dagjobb i tillegg
- Representerer flertallet av disse kriminelle virksomhetene og samarbeider ofte med andre kriminelle enheter
Mellomstore kriminelle virksomheter (for eksempel MaxDedi):
- Typisk to ledelseslag, 6-49 ansatte og opptil 50 millioner dollar i årlig omsetning
- Virksomhetene har ofte en hierarkisk struktur med én person som leder
Store kriminelle virksomheter (for eksempel løsepenge-gruppen Conti):
- Typisk tre ledelseslag, relativt mange mellomledere og veiledere, mer enn 50 ansatte og mer enn 50 millioner dollar i årlig omsetning
- Virksomhetene implementerer effektiv OPSEC og samarbeider med andre kriminelle organisasjoner
- De ansvarlige er erfarne cyberkriminelle og ansetter utviklere, administratorer og penetrasjonstestere – inkludert kortsiktige kontraktører
- Har ofte virksomhetslignende avdelinger (f.eks. IT, HR) og har ofte etablert egne ansattprogrammer, inkludert prestasjonsvurderinger
Størrelse er viktig
Ifølge rapporten kan det å vite størrelsen og kompleksiteten til de cyberkriminelle virksomhetene, gi viktige ledetråder for etterforskerne. Det gjør det ikke minst mye enklere å vite hvilke typer data etterforskerne skal se etter, det være seg lister over ansatte, regnskapsbøker, delte kalendere eller informasjon om de ansattes kryptolommebøker.
Det å forstå størrelsen på de cyberkriminelle virksomhetene hjelper også politimyndighetene med å prioritere hvilke cyberkriminelle grupper etterforskerne skal fokusere på for maksimal effekt og best mulig resultat.
– At en typisk stor cyberkriminell virksomhet bruker 80 prosent av driftskostnadene på lønninger, viser hvor avgjørende det menneskelige aspektet er i disse virksomhetene. Rapporten understreker hvor viktig det er for etterforskerne å forstå virksomhetsstørrelsen, slik at de kan tilpasse sine strategier og prioritere hvilke grupper som bør forfølges for å oppnå maksimal innvirkning i kampen mot cyberkriminalitet, påpeker Myrvold.