Palkat ovat kyberrikollisten suurin kuluerä

Trend Micron raportti osoittaa rikollisorganisaatioiden toimivan kuin lailliset yritykset

Trend Micron uusi tutkimus havainnollistaa verkkorikollisten toimintamallien muuttumista. Rikollisryhmien toiminta alkaa kasvaessaan muistuttaa tavallisten yritysten toimintaa, mutta samalla myös niiden kulut ja haasteet muuttuvat. Tutkimus korostaa, että rikollisia toimijoita tarkkailevien tutkijoiden on myös ymmärrettävä toiminnan mittakaava ja kuinka suuresta organisaatiosta on kyse.

Tyypillisen suuren organisaation kuluista jopa 80 % koostuu palkoista. Raportin mukaan myös pienempien rikollisten toimijoiden palkkakulut ovat samaa luokkaa (78 %). Muita tavanomaisia kuluja kertyy teknisestä infrastruktuurista (palvelimet, reitittimet ja VPN-yhteydet), virtuaalikoneista ja ohjelmistoista.

– Kyberrikollisten toiminta ammattimaistuu vauhdilla. Monet organisaatiot alkavat jo muistuttaa laillisia yrityksiä. Niiden toiminta monimutkaistuu sitä mukaa kun heidän jäsentensä määrä ja tuotot kasvavat, kertoo Kalle Salminen, Trend Micron kyberturva-asiantuntija. Suuremmat kyberrikollisjärjestöt voivat kuitenkin olla vaikeampia ja byrokraattisempia hallinnoitavia. Niissä voi olla enemmän ongelmia toimistopolitiikan kiemuroiden, huonojen suoriutujien ja luottamuksen suhteen.

Tutkimuksessa hahmoteltiin kolme erityyppistä kyberrikollisorganisaatiota koon mukaan. Esimerkit pohjautuvat Trend Micron viranomaisilta ja sisäpiirilähteiltä keräämään tietoon.

Pienet rikollisyritykset (esim. Counter Anti-Virus -palvelu Scan4You):

• Tyypillisesti yksi johtotaso, 1-5 työntekijää ja alle 500 000 US dollarin vuotuinen liikevaihto
• Jäsenet vastaavat useista eri tehtävistä. Heillä on myös tavallinen päivätyö.
• Pienet toimijat edustavat suurinta osaa kyberrikollisjärjestöistä. Tekevät usein yhteistyötä muiden rikollistoimijoiden kanssa.

Keskikokoiset rikollisyritykset (esim. bulletproof hosting -palveluja tarjoava MaxDedi):

• Tyypillisesti yksi johtotaso, 6-49 työntekijää ja alle 50 miljoonan dollarin vuotuinen liikevaihto
• Yleensä pyramidimainen hierarkia, jonka yläpäässä johtajana yksi henkilö.

Suuret rikollisyritykset (esim. kiristyshaittaohjelmaryhmä Conti):

• Tyypillisesti kolme johtotasoa, yli 50 työntekijää ja yli 50 miljoonan dollarin vuotuinen liikevaihto.
• Suhteellisen paljon alemman tason johtajia ja esimiehiä.
• Noudattaa huolellisesti johtamissodankäynnin menetelmiä ja tekee yhteistyötä muiden rikollisjärjestöjen kanssa.
• Johtohenkilöt ovat kokeneita verkkorikollisia ja palkkaavat organisaatioonsa vakituisiksi työntekijöiksi ohjelmistokehittäjiä, ylläpitäjiä ja penetraatiotestaajia. Käyttävät myös lyhytaikaisia urakoitsijoita.
• Organisaatioilla saattaa olla yritysmaailmasta tuttuja osastoja, kuten tekninen tuki ja henkilöstöhallinto. Niillä voi olla työntekijöilleen myös erilaisia henkilöstöohjelmia ja jopa suoritusarviointeja.

Raportin mukaan rikollisjärjestön koon ja toiminnan monimutkaisuuden tunteminen antaa tutkijoille arvokasta tietoa, joka voi opastaa tutkimuksissa eteenpäin ja vihjata millaista dataa kannattaa metsästää jatkossa. Suuremmilla rikollisorganisaatioilla saattaa olla tallennettuina dokumentteina esimerkiksi työntekijäluetteloita, tilinpäätöksiä, yritysoppaita, tutoriaaleja, perustamiskirjoja ja yhtiöjärjestyksiä, työntekijöiden kryptovaluuttalompakkoja ja jopa jaettuja kalentereita, joista tutkijat voivat löytää arvokasta lisätietoa.

Tutkittavien rikollisjärjestöjen koon ja toiminnan parempi ymmärtäminen voi myös auttaa viranomaisia priorisoimaan toimiaan tehokkaammin ja iskemään ryhmiin, joihin puuttumalla saadaan aikaan suurin mahdollinen vaikutus koko kyberrikollisuussektorille.

Lisätietoja Trend Micron raportissa, jonka voit lukea täältä.