La cybersecurity è una sfida sempre più complessa, perché i cybercriminali si organizzano come vere e proprie aziende, con modelli di business e costi operativi. Per questo motivo Trend Micro, azienda leader nel settore della sicurezza informatica, ha pubblicato Inside the Halls of a Cybercrime Business, un report che fa il punto della situazione sullo stato delle cose della cybersecurity in ambito business.
Lo studio ha analizzato tre tipologie di organizzazioni criminali in base alle loro dimensioni, utilizzando dati forniti dalle Forze dell’Ordine. In particolare emerge che le spese principali delle organizzazioni cybercriminali riguardano gli stipendi dei collaboratori (che rappresentano l’80% dei costi per le grandi organizzazioni e il 78% per le piccole). Altre spese consistono l’infrastruttura, che per poter funzionare senza essere individuata deve sfruttare server, router e VPN oltre alle variemacchine virtuali e ai software.
L’analisi delle organizzazioni criminali, e la loro gestione economica, è fondamentale per carpire il loro operato. Dettagli che possono sembrare trascurabili ma che possono aiutare le autorità a fermare le truffe e gli attacchi cyber. Per esempio, le organizzazioni più grandi potrebbero avere documenti interni come liste dei dipendenti, bilanci, manuali, operazioni di fusione e acquisizione, dettagli dei crypto-wallet e calendari condivisi. Informazioni preziosissime per le forze dell’ordine.
Il report di Trend Micro: i gruppi hacker sono strutturati proprio come le aziende
Per poter definire in modo preciso l’operato dei gruppi criminali, il report di Trend Micro ha cominciato col categorizzarli in tre macro insiemi. Un po’ come accade per le aziende, si è deciso di suddividerli in grandi, medi e piccoli. “La maggior parte del panorama – afferma il report – è costituita da gruppi molto piccoli di criminali che guadagnano entrate moderate”. Questi piccoli gruppi sono composti da pochi membri che operano secondo un modello di partnership.
Al contrario I gruppi criminali più grandi sono molto simili ad aziende: hanno dipartimenti di risorse umane (HR) e informatica (IT). Alcuni possono persino prevedere dei programmi premio per gli hacker migliori, un po’ come accade per i dipendenti del mese nel mondo legale.
Peraltro le grandi organizzazioni criminali sono complesse da gestire, in quanto devono confrontarsi con un maggior numero di questioni politiche e con un maggior numero di persone. Devono affrontare più problemi di fiducia, oltre a gestire le spese generali che derivano dalle dimensioni delle loro operazioni.
Per categorizzare le organizzazioni in questi tre macro-gruppi, Trend Micro ha tenuto in considerazione due fattori principali: il numero dei componenti e il budget. Nello specifico:
- Piccoli: staff da 1 a 5 componenti e budget sotto i 500mila dollari. In genere gestiscono una sola operazione per volta.
- Medi: staff da 6 a 49 componenti e budget fino a 50 milioni di dollari.
- Grandi: staff composto da più di 50 tra componenti e partner che gestiscono un budget superiore ai 50 milioni di dollari.
Come operano i gruppi più piccoli: nella mente di un cybercriminale
Proteggiti con Bitdefender, Leader in Cybersecurity
Come esempio per le piccole realtà cybercriminali, il report di Micro Trend ha preso in considerazione Scan4You, attiva dal 2012 al 2017, uno dei maggiori servizi di contro antivirus (Counter AV o CAV) nell’underground criminale. I criminali informatici utilizzano il Counter AV come strumento per eludere il rilevamento di antimalware. Si tratta, in pratica, di un antivirus contro gli antivirus.
La struttura aziendale di Scan4You era composta da due dipendenti e almeno cinque rivenditori. Nessun vero leader. Scan4You offriva 100.000 scansioni al mese per 30 dollari (e 0,15 dollari per una singola scansione). I metodi di pagamento utilizzati all’epoca comprendevano Paypal, WebMoney e Bitcoin. In un altro report di Trend Micro intitolato (chiamato The Rise and Fall of Scan4You), si stimava che Scan4You, nel solo 2013, avesse guadagnato circa 15.000 dollari al mese.
Scan4You era gestito da Ruslans Bondars (alias B0rland) e Jurijs Martisevs (alias Garrik). Volendo definirne i ruoli, Bondars si occupava della manutenzione dell’infrastruttura tecnica e del sito web dell’azienda. Martisevs invece forniva assistenza ai clienti.
Nella vita di tutti i giorni, alla luce del sole, Bondars era sviluppatore software in una grande azienda, con tanto di profilo professionale su Linkedin. Un vero insospettabile.
Il report di Trend Micro: come opera un gruppo di medie dimensioni
Come esempio di gruppo medio, Trend Micro ha scelto MaxiDed, una realtà che ha iniziato come piccolo provider di hosting, senza alcuna attività illecita (anche se “Ded” è un termine comunemente usato nella criminalità informatica per indicare i “server dedicati”). Nel 2011 hanno cominciato ad ospitare sui propri server protetti materiale pedopornografico, server di comando e controllo (C&C) per botnet DDoS (Distributed Denial of Service), cyberespionaggio, malvertising e spam.
La polizia thailandese ha arrestato nel 2018 un uomo moldavo di 29 anni, presunto proprietario di MaxiDed, in un luogo di villeggiatura in Thailandia. Inoltre la polizia bulgara ha arrestato anche un altro sospetto, un cittadino moldavo di 37 anni che sarebbe stato l’amministratore del server di MaxiDed.
Essendo un gruppo di medie dimensioni, MaxiDed era guidato da almeno cinque amministratori. Il suo modello di business, inizialmente legale, era basato sulla vendita di pacchetti di server protetti. Tuttavia MaxiDed prendeva una commissione fissa del 20% su ogni vendita tra un commerciante e un cliente. I clienti non vedevano l’identità dei commercianti e viceversa. MaxiDed era una sorta di intermediario che garantiva l’anonimato. Oltre alle commissioni sulle transazioni, MaxiDed addebitava ai clienti anche le spese amministrative aggiuntive.
Sulla base dell’infrastruttura MaxiDed, ritenuta sicura e privata, gli amministratori sono riusciti a creare un secondo business chiamato DepFile. Si tratta di una piattaforma di file-sharing usata per lo più per lo scambio di materiale pedopornografico. Il report di Trend Micro rivela che i profitti di DepFile erano molto più alti di quelli di MaxiDed.
Infine, a differenza di Scan4You, gli amministratori di MaxiDed non avevano impieghi “legali”. Questi, per gestire l’impero criminale, dedicavano buona parte della giornata alla propria attività illecita.
Le organizzazioni di grandi dimensioni: veri e propri colossi della cybercriminalità
Decisamente diverse sono le organizzazioni ritenute di grandi dimensioni. Come esempio Trend Micro ha scelto il gruppo criminale Conti, che operava in alcune regioni dell’ex Unione Sovietica. Le informazioni provengono da una fuga di documenti interni avvenuta nel 2022. E già qui possiamo notare come, a differenza delle realtà piccole e medie, i grandi gruppi criminali tengano dei veri e propri registri attività.
I file trapelati mostravano il numero di dipendenti, una parte della struttura organizzativa e altri dati molto interessanti. Per prima cosa è bene capire che Conti è una vera e propria società che distribuisce ransomware, peraltro anche parecchio aggressivi.
Nell’agosto 2020 il Dipartimento di Stato americano ha offerto una ricompensa di 10 milioni di dollari per chiunque fornisse informazioni sui leader del gruppo. Dopo lo scoppio del conflitto tra Ucraina e Russia, iniziato nel febbraio 2022, Conti ha dichiarato pubblicamente il proprio sostegno alla Russia, anche se poi ha rapidamente fatto marcia indietro e attenuato la sua affiliazione col Cremlino.
La struttura organizzativa di Conti
Ecco cosa ci dice il report di Micro Trend in merito alla struttura organizzativo/finanziaria di Conti:
- Le retribuzioni si aggiravano intorno ai 165.000 dollari al mese. Questo include solo i “dipendenti”, non i collaboratori esterni.
- Il numero di persone pagate con il fondo bitcoin era di circa 60 persone. Il numero totale di dipendenti era di circa 350 persone.
- Conti disponeva di un vero e proprio dipartimento delle risorse umane composto dal responsabile delle risorse umane e da sei specialisti. Il gruppo utilizzava regolarmente annunci su vari siti web per il reclutamento.
- Il gruppo ha istituito dei bonus di rendimento (compreso un incentivo “dipendente del mese”) e bonus di mantenimento per i dipendenti che minacciavano di andarsene dopo aver scoperto la natura dell’attività.
- Fine settimana liberi per i dipendenti
- Gli sviluppatori guadagnavano circa 2.000 dollari al mese
- Due uffici fisici, il cui affitto costava 26.000 dollari al mese
Appare quindi evidente che Conti agisse non diversamente da una grande società legale, con tutta la complessità gestionale che ne deriva.
Potete consultare il report completo di Trend Micro a questo link.
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
🔝LinkedIn pubblica il report Top Companies Italia 2024: al primo posto Intesa Sanpaolo
🍪Il futuro della privacy online: Google dice addio ai cookie di terze parti
🪪Parliamo di SASE: intervista a Aldo Di Mattia di Fortinet
💡AMD e i data center energeticamente sostenibili. Intervista ad Alexander Troshin
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
