Negli ultimi due decenni, il panorama delle minacce informatiche è notevolmente cambiato, passando da attacchi cyber basati principalmente su ricerche offensive e payload distruttivi a un ecosistema fertile per attori malevoli che si organizzano in gruppi per perseguire guadagni finanziari. Questo ha portato alla creazione di organizzazioni criminali che somigliano straordinariamente alle aziende legali. Nel nostro studio “Inside the Halls of a Cybercrime Business”, analizziamo gruppi criminali di piccole, medie e grandi dimensioni per comprendere meglio le loro strutture e funzionamenti.
Classificazione delle dimensioni delle organizzazioni criminali
Abbiamo definito le dimensioni dei gruppi criminali in base al numero dei loro dipendenti, ai livelli di gerarchia e ai loro ricavi annuali. Poiché la natura clandestina delle attività criminali rende impossibile stabilire un insieme rigido di criteri per determinare la dimensione delle organizzazioni, abbiamo creato una guida (Figura 1) che gli analisti delle minacce possono utilizzare per classificare la dimensione di un’organizzazione criminale.
Gruppi criminali di piccole dimensioni
La maggior parte del panorama della cybercriminalità è costituita da piccoli gruppi criminali che guadagnano ricavi annuali moderati, non superiori a 500.000 dollari. Questi gruppi sono costituiti generalmente da un leader, un programmatore, un ruolo di supporto e un amministratore di rete. Un esempio di un piccolo gruppo criminale che abbiamo analizzato è Scan4You, uno dei maggiori servizi di Counter Antivirus (CAV) nel sottobosco criminale tra il 2012 e il 2017.
Gruppi criminali di medie dimensioni
I gruppi criminali di medie dimensioni hanno una struttura organizzativa più complessa rispetto ai piccoli gruppi criminali, con più livelli di gerarchia simili alle aziende legali. Generano ricavi fino a 50 milioni di dollari l’anno e impiegano tra sei e 49 dipendenti. Un esempio di gruppo criminale di medie dimensioni che abbiamo analizzato è MaxiDed, che si è trasformato nel 2011 in un provider di hosting bulletproof per attività illecite.
La struttura delle grandi organizzazioni criminali
Le grandi organizzazioni criminali presentano reparti funzionali simili a quelli delle aziende legittime, come le risorse umane e l’IT. La loro struttura è altamente gerarchica, con una disposizione piramidale della dirigenza. Ad esempio, i manager monitorano attentamente le prestazioni dei dipendenti e attuano programmi per aumentare e mantenere alta la motivazione al fine di raggiungere costantemente gli obiettivi finanziari. Il fatturato annuo di queste organizzazioni criminali supera i 50 milioni di dollari, un valore comparabile a quello delle grandi aziende legittime.
Un esempio di grande organizzazione criminale è Conti, uno dei gruppi di ransomware più noti e prolifici della storia recente, responsabile di numerosi attacchi di alto profilo. Conti è un importante fornitore di ransomware-as-a-service (RaaS) e si ritiene sia il successore del ransomware Ryuk. Gli operatori di Conti sono noti per la loro abile utilizzo delle tecniche di doppia estorsione e per aver venduto l’accesso a organizzazioni vittime che si rifiutavano di negoziare, oltre a pubblicare dati rubati.
L’importanza della conoscenza delle dimensioni delle organizzazioni criminali per gli investigatori
La stima delle dimensioni di un’organizzazione criminale da parte di un investigatore di crimini informatici può portare alla scoperta di nuove informazioni in caso di infiltrazione. Queste informazioni possono includere bilanci, organigrammi, elenchi di dipendenti, portafogli di criptovalute dei membri del gruppo e documentazione specifica per reparto, tra le altre cose. Più importante, tali informazioni possono essere fondamentali per gli investigatori e le forze dell’ordine che mirano a colpire duramente questi gruppi criminali.
