Una grande organizzazione riserva l’80% delle spese operative agli stipendi e lo stesso accade nel caso delle piccole organizzazioni criminali (78%) in ambito cybersecurity. Altre spese in comune includono l’infrastruttura (server/router/VPN), le macchine virtuali e i software. È uno dei dati che emerge dallo studio Trend Micro dal titolo a Inside the Halls of a Cybercrime Business e che rende evidente come i gruppi hacker sono sempre più simili ad aziende vere e proprie.
3 tipi di imprese criminali
Lo studio recentemente realizzato da Trend Micro ha identificato 3 tipi di organizzazioni in base alle dimensioni, sulla base di dati raccolti con il supporto delle Forze dell’Ordine.
Piccole imprese criminali
Si prende a esempio il servizio Counter Anti-Virus Scan4You.
Si tratta di realtà che hanno un livello di management, 1-5 membri e meno di $500.000 di fatturato annuo.
I membri spesso gestiscono più compiti all’interno del gruppo e hanno anche un lavoro quotidiano oltre all’attività criminale.
Costituiscono la maggior parte delle imprese e spesso collaborano con altre entità criminali.
Medie imprese criminali
Un esempio, in questo caso, è l’hoster bulletproof MaxDedi.
In tali organizzazioni si trovano due livelli di management, dai 6 ai 49 membri e fino a 50 milioni di dollari di fatturato.
Di solito hanno una struttura gerarchica piramidale con una sola persona al vertice.
Grandi organizzazioni criminali
Qui si fa riferimento, per esempio, al gruppo ransomware Conti.
In genere, sono realtà che hanno tre livelli di management, oltre 50 dipendenti e oltre 50 milioni di dollari di fatturato annuo.
Presentano un numero relativamente elevato di dirigenti e supervisori e implementano una OPSEC efficace e collaborano con altre organizzazioni criminali.
I responsabili sono criminali informatici esperti e assumono diversi sviluppatori, amministratori e penetration tester, inclusi collaboratori a breve termine. Possono avere business unit in stile aziendale (per esempio IT, risorse umane eccetera) e persino proporre programmi per i dipendenti, come la valutazione delle prestazioni.
L’importanza di conoscere il nemico
Secondo il rapporto, conoscere le dimensioni e la complessità di un’organizzazione criminale può fornire indizi critici agli investigatori sui dati da ricercare.
Per esempio, le entità criminali più grandi possono conservare elenchi dei dipendenti, rendiconti finanziari, guide o tutorial aziendali, documenti di fusione e acquisizione, dettagli dei crypto-wallet dei dipendenti e persino calendari condivisi.
Comprendere le dimensioni delle organizzazioni criminali in target può anche consentire alle forze dell’ordine di intuire con quale priorità devono essere affrontati i diversi gruppi, per ottenere il massimo impatto.
“I gruppi cybercriminali – commenta Matteo Arrigoni, Principal Sales Engineer Trend Micro Italia – diventano sempre più professionali e i malviventi imitano le strutture delle aziende legali, capaci di crescere in complessità con l’aumentare dei membri e delle entrate. Tuttavia, le organizzazioni criminali più grandi possono essere più difficili da gestire ed essere caratterizzate da dinamiche simili a quelle di un ufficio, con prestazioni scadenti e problemi di fiducia. Questo rapporto evidenzia l’importanza di comprendere la dimensione dell’entità criminale che si affronta”.
