Se o crime não compensa, alguns cibercriminosos não saberiam. Um membro importante da equipe de um grupo de crimes cibernéticos como a Conti pode ganhar cerca de US$ 1,1 milhão por ano, de acordo com um relatório divulgado na segunda-feira pela Trend Micro.
Como os grupos de crimes cibernéticos não registram relatórios na SEC, o salário ganho por um dos principais fabricantes de dinheiro em uma grande empresa criminosa como a Conti representa o melhor palpite da Trend Micro com base em informações vazadas sobre o grupo e sua receita estimada de US$ 150 milhões a US$ 180. milhão.
“Os fatos extraídos das conversas vazadas pintam um quadro da organização Conti muito parecido com um negócio grande e legítimo”, observaram os pesquisadores da Trend Micro.
“Esses criminosos parecem ter conseguido construir uma organização complexa com muitas camadas de gerenciamento e regras e regulamentos internos que imitam o de uma corporação legítima”, acrescentaram.
O relatório “Inside the Halls of a Cybercrime Business”, de David Sancho e Mayra Rosario Fuentes, enfoca as receitas e a organização de três grupos criminosos distintos – um pequeno (menos de US$ 500.000 em receita anual), um médio (até US$ 50 milhões) e um grande (mais de US$ 50 milhões).
Especialização em influências de tamanho
Como qualquer empresa, o tamanho influencia o quão especializada uma organização criminosa precisa ser, observou o vice-presidente de estratégia de mercado da Trend Micro, Eric Skinner.
“Um pequeno grupo se especializará em uma área – subcontratando outros aspectos de sua operação ou sendo fornecedores de nicho para grupos maiores”, disse ele ao TechNewsWorld.
“À medida que um grupo cresce”, continuou ele, “eles podem trazer mais habilidades de nicho internamente para reduzir custos ou ter mais controle de sua cadeia de suprimentos”.
“Organizações criminosas tendem a espelhar negócios jurídicos porque ambos estão tentando maximizar lucros”, acrescentou. “Uma organização sem fins lucrativos, digamos uma organização idealista ou terrorista, geralmente terá estruturas diferentes para refletir seus diferentes objetivos.”
ANÚNCIO
À medida que as organizações criminosas crescem, elas enfrentam muitos dos mesmos desafios de “negócios” que as organizações legítimas, incluindo recrutamento, treinamento, desenvolvimento de software, desenvolvimento de negócios e marketing, observou Sean McNee, vice-presidente de pesquisa e dados da Internet Intelligence Specialists. Ferramentas de Domínio Em seattle.
“Como tal”, disse ele ao TechNewsWorld, “eles adotaram muitas práticas recomendadas e modelos de negócios para abordar os mesmos problemas enfrentados por organizações legítimas no gerenciamento desses desafios”.
Novo tipo de inicialização
McNee disse que o ecossistema do cibercrime é um mercado livre competitivo que está amadurecendo rapidamente.
“Os relacionamentos nessa economia permitem que as organizações explorem especialização técnica, afiliados eficientes e modelos de vendas, além da capacidade de escalar com eficiência”, continuou ele. “As operações de crimes cibernéticos poderiam então ser vistas em termos de startups de tecnologia – capitalizar na velocidade, iterações rápidas para adequar o produto ao mercado e formar parcerias de negócios.”
As organizações criminosas não são tão diferentes das corporações com fins lucrativos, afirmou John Bambenek, principal caçador de ameaças da Netenrichuma empresa de operações de TI e segurança digital em San Jose, Califórnia.
“Eles precisam organizar pessoas e processos para cumprir a missão de ganhar dinheiro”, disse ele ao TechNewsWorld. “Eles simplesmente estão dispostos a usar ferramentas criminosas para conseguir isso.”
Os modelos de negócios tradicionais não apenas têm um histórico comprovado de sucesso, mas também se adaptam bem, acrescentou Erich Kron, um defensor da conscientização de segurança da KnowBe4um provedor de treinamento de conscientização de segurança em Clearwater, Flórida.
“Lidando com grupos de criminosos, é preciso haver um delineamento claro de autoridade, e verificações e balanços devem estar em vigor para garantir que esses criminosos não estejam roubando de sua própria organização de cibercrime”, disse ele ao TechNewsWorld. “Organização e autoridade bem definida são fundamentais para garantir o bom andamento da operação.”
Tamanho importa
O relatório observou que determinar o tamanho de uma organização pode ser uma informação importante para a aplicação da lei.
Ele explicou que saber o tamanho de uma organização criminosa visada pode levar à priorização de quais grupos perseguir em detrimento de outros para obter o máximo impacto.
“Além disso, tenha em mente que quanto maior a organização, menos vulnerável ela pode ser a prisões, mas mais propensa a manipulação”, escreveram os pesquisadores.
ANÚNCIO
“Técnicas de coleta de dados são vitais”, eles continuaram, “Se há algo que os bate-papos vazados do Conti nos ensinaram é que a divulgação de informações pode ser muito mais poderosa para prejudicar as operações de um grupo do que a derrubada de servidores”.
“Uma vez que as informações privadas vazam, a relação de confiança entre os membros do grupo e seus parceiros externos pode ser corroída de forma irreversível”, acrescentaram. “Nesse ponto, restabelecer a confiança é muito mais difícil do que alterar endereços IP ou mudar para um novo provedor de internet.”
Sacrificando os Skels
Kron apontou, no entanto, que as operações de cibercrime bem organizadas serão muito mais difíceis para a aplicação da lei penetrar e coletar informações.
“Eles podem manter a liderança de alto escalão mais segura tendo muitos níveis de culpa abaixo deles”, disse ele. “Assim como com as drogas de rua, geralmente são os vendedores de rua de baixo escalão que são presos enquanto os chefões e traficantes de grande escala são isolados”.
Trickbot e Conti recrutaram em universidades técnicas e sites legítimos de busca de empregos, e é provável que esses recrutas não estivessem cientes do trabalho que estavam apoiando, acrescentou Andras Toth-Czifra, analista sênior da Ponto de inflamaçãouma empresa global de inteligência contra ameaças.
“A prisão de um indivíduo pode não comprometer necessariamente uma organização, pois os trabalhadores de nível inferior podem não estar cientes do trabalho que estão apoiando”, disse ele ao TechNewsWorld. “Os analistas observaram táticas semelhantes sendo empregadas para recrutar mulas de dinheiro involuntárias.”
Economia Paralela
Com maior organização e especialização, os grupos de crimes cibernéticos estão se movendo com mais rapidez e eficiência durante cada estágio de um ataque, observou Skinner.
“Embora a maioria dos ataques ainda comece com phishing ou exploração de ativos vulneráveis voltados para a Internet, estamos vendo um aumento nos ataques à cadeia de suprimentos”, acrescentou.
“E”, continuou ele, “estamos vendo uma evolução nas táticas de extorsão, além do ransomware destrutivo, com mais foco na exfiltração de dados e ameaças de divulgação pública de informações confidenciais”.
“O que estamos vendo é uma economia paralela se desenvolvendo”, acrescentou McNee.
Ele observou que as tendências recentes se concentram na especialização e na divisão do trabalho dentro dos grupos, à medida que acumulam os recursos necessários para crescer e amadurecer seus empreendimentos criminosos.
ANÚNCIO
“A colaboração sempre foi uma marca registrada de muitos desses grupos”, disse ele. “Com a consolidação em algumas organizações maiores, sua capacidade de desenvolver certas capacidades internamente aumentou.”
“Com a proliferação do modelo de ransomware como serviço, o suporte ao cliente e o marketing de seu ‘sucesso do cliente’ e suporte também cresceram”, acrescentou.
Uma das coisas fascinantes sobre os cibercriminosos é a velocidade com que eles adotam tecnologia de ponta, observou Andrew Barratt, gerente principal de soluções e investigações da Fogo de carvãoum provedor de serviços de consultoria em segurança cibernética com sede em Westminster, Colorado.
“Alguns anos atrás, sabíamos que criminosos usavam IA e aprendizado de máquina para fazer processamento de linguagem – tudo pré-chatGPT – para imitar a linguagem usada em e-mails usados por seus alvos”.
“Eles são compatíveis com a nuvem, globalmente diversificados e, em muitos casos, dispostos a correr riscos com novas tecnologias porque os retornos podem ser muito altos”, acrescentou.
