在网络犯罪企业的大厅里 DavidSancho和MayraRosarioFuentes Contents Introduction04 Business05 Business09 调查人员的犯罪组织23 由发布 趋势科技研究 Writtenby 大卫·桑乔, MayraRosarioFuentes MicrosoftAzure上的无服务器安全状态 第2页共27页 规模问题:犯罪公司是一件事吗?为什么这很重要? 与任何其他人类团体一样,犯罪组织随着规模的扩大而变得越来越复杂。这种复杂性表现为一个小组与主管的经理组成类似部门的小组,这些经理向其他人汇报。我们已经从公司及其部门分支机构中知道了这一点: 1.网络犯罪集团通常像公司一样组织自己。随着集团收入和成员数量的增加,结构会更加复杂。 2.大型犯罪集团的组织方式非常复杂,但数量并不多。大多数情况下都是由赚取中等收入的非常小的罪犯团队组成的。这些小团体由几个在合伙模式下运作的成员组成。 3.较大的犯罪集团拥有类似公司的部门,例如人力资源(HR)和信息技术(IT)等。他们甚至可能有员工计划,例如对当月模范员工的表彰和绩效评估。 4.大型犯罪组织不仅在规模上有所不同;他们也往往更难管理,他们努力解决更多的政治问题,并有更多的表现不佳的人需要处理。除了管理运营规模带来的间接费用外,他们还面临更多的信任问题。从长远来看,在不解决这些问题的情况下变得越来越大,会对犯罪组织产生负面影响。 Introduction 在本世纪初,安全行业开始意识到,大多数网络攻击者都是由明显具有犯罪目标的团体组织的:赚钱。这与前一代杂乱无章的恶意软件编写者相比有了很大的飞跃,他们更专注于具有破坏性有效载荷的进攻性研究。此外,通过形成更大的组,这些恶意行为者可以瞄准组织,否则个人攻击者将无法完成这些组织。这一波新的网络犯罪分子完全是为了钱。因此,这些新组织不断发展并变得更加复杂。 20多年后,这些犯罪集团的建立方式在许多方面都类似于现代公司。这并不奇怪,因为随着群体的扩大,任何人类社会群体总是倾向于变得更加复杂。 那么,现代网络犯罪集团在组织方式上如何与企业进行比较?这正是我们在本文中要探讨的。我们将研究三个不同规模的犯罪集团,案件来自执法逮捕和内幕信息。之后,我们将把它们与类似规模、刻板和合法的公司进行比较,看看我们能得出什么结论。 在本文中,我们显示了小型,中型和大型企业类别下典型犯罪集团的季度财务报告的估计。这些不是来自真正的犯罪组织,因为准确的数字自然不会披露,而是基于我们的观察和估计。值得指出的是,仅通过查看这些财务报告,无法证明集团的产出与其复杂程度之间存在任何相关性。 我们从警察逮捕、结案和可靠的内部来源中选择了三个样本犯罪集团,每个规模。这使我们能够以非常高的可见度编制收入数据和其他信息。我们的调查结果基于较旧的可靠数据,而不是较新的估计。 此外,我们专注于有经济动机的网络犯罪组织,而不是那些与民族国家相关的组织,这些组织更像政府、军事部门或黑客组织的组织结构,这些组织结构非常混乱、不集中或混乱。 定义犯罪业务的规模 地下犯罪业务的定义不符合学术定义或Garter对公司规模分类的定义,就像合法企业一样。Garter将小企业定义为员工人数少于100人,年收入低于5000万美元的组织。中型企业被定义为拥有100至999名员工,收入超过5000万美元但不到10亿美元的组织。1 但是,合法公司的定义不能适用于犯罪组织。如果我们确实应用了它,那么所有犯罪集团都将被视为小集团。 相反,出于本文的目的,我们自己设定了定义,以根据我们对许多犯罪集团的研究所观察到的雇员人数及其层次结构来确定犯罪集团的规模。我们没有考虑到市场影响,因为一些小团体可能会对感染或犯罪客户的范围产生更大的影响,因此他们可能不会有很大的收入。然而,值得注意的是,这些数字并不是严格的数字,就像合法企业并不总是完全适合预定义的类别一样。 由于具有一定程度的灰色,图1可以用作分析师对犯罪组织的规模进行分类的指南,同时还可以考虑他们可用的其他信息。作为一个很好的经验法则 ,犯罪组织在特定类别下的分类意味着它已经通过了每个类别设置的所有三个标准: 工作人员和附属机构的数量 年收入 管理层 小 1–5 500,000美元以下 1 介质 6–49 高达5000万美元 2 大 50+ 5千万美元+ 3 表1:确定犯罪企业规模的准则 地下的小型犯罪企业通常是扁平的组织:所有者和雇员之间要么有很少的管理层,甚至没有管理层。小型犯罪组织是网络犯罪地下最常见的商业规模。然而,如果他们成功了,他们通常会发展成为中型甚至大型组织。由于地下市场缺乏监管,我们的分析只能是轶事;然而,我们假设像合法企业一样,只有名义比例的小犯罪集团发展成为中型或大型企业。 与现实世界的企业一样,小型犯罪团伙由一个或多个企业家建立,以创建和销售独特的产品或服务,但这些新企业主通常尚未在同行中建立声誉。这些类型的小型企业通常由其创始人自己资助,以支付恶意软件代码的开发人员,服务器和其他附带费用。 在美国的合法企业中,中小型企业占绝大多数,达到惊人的99.9%,雇用了47.1%的私人劳动力,并推动了约44%的经济活动。2在本文中,我们假设我们在网络犯罪市场中看到的格局遵循类似的分布。尽管如此,这对我们的总体结论没有影响。 小型犯罪集团通常由团队负责人,编码器,支持角色和网络管理员组成。在如此精简的员工队伍中,每个人通常会在通常的职责(例如广告,招聘和金钱处理)之上履行多个角色。 一个成功的小企业的例子是Yalishanda。根据BrianKrebs的分析,这是地下社区中最受欢迎的防弹托管服务提供商之一,3据信只有两个人经营。 图1.广告招募会员组成僵尸网络团队 图2.Yalishanda的防弹托管服务广告 中型犯罪企业具有更分层的结构,例如在合法企业中常见的组织结构。他们通常有一个金字塔式的组织结构图,描述了组织内的权威,其中一个人在高层 ,负责整个公司。 中型犯罪业务的一个例子是GozNym集团。2019年5月,该集团起诉了10人。根据起诉书,该团队由领导者,开发人员,密码员,帐户接管专家,收银员,技术管理员,主要助手,“提现”或“下降管理员”,防弹托管服务的管理员以及垃圾邮件发送者组成。4 图3.欧洲刑警组织调查的GozNym组织结构 来源:欧洲刑警组织5 大型犯罪企业具有高度分层的结构,其次是越来越多的下层管理人员和主管。大型犯罪组织比中等规模的犯罪组织更结构化。成功的大型企业展示了与他人的有效伙伴关系,展示了领导力,并实施了运营安全性(OPSEC)。大型犯罪组织比小型企业更有能力与其他网络犯罪行为者竞争,并且可能运营一个或多个物理设施。他们还倾向于雇用更多的员工并产生可观的收入。 我们认为大型犯罪组织雇用超过50人。通常,负责人长期从事地下犯罪,并享有良好的声誉。这些犯罪组织可能拥有人力资源和会计等“业务支持”部门,但它们缺乏正规资格,例如在合法企业中通常具有商业学位。他们雇佣多个开发人员、管理员和渗透测试人员。众所周知,一些地下组织为短期项目雇用承包商而不是全职员工。 大型犯罪组织有时会与其他犯罪小组建立伙伴关系。一个例子是EvilCorp,这是一家总部位于俄罗斯的网络犯罪组织,负责开发和分发Dridex恶意软件。邪恶公司不仅定期与外部分支机构合作,而且还依靠金钱骡子网络,这些金钱骡子参与将从受害者的银行帐户中获得的被盗资金转移到邪恶公司成员控制的帐户6该组织以前也曾与LockBit等其他勒索软件组织合作。7 值得指出的是,网络犯罪集团远程管理他们的行动。由于这种匿名性,这些团体错过了许多将合法团队和公司聚集在一起的社会纽带和结构,这最终可能导致他们的分裂。有有限的水冷却器聊天,没有圣诞派对,没有生日蛋糕在食堂,没有看到同事的家庭照片在他们的桌子上。缺乏身体的社交互动是他们的弱点之一。 小型犯罪业务 Overview 我们选择了Sca4Yo作为我们在地下做得很好的小企业集团的例子。Sca4Yo于2012年至2017年投入运营,曾经是地下犯罪中最大的反防病毒(反AV或CAV)服务之一。网络犯罪分子使用CoterAV作为逃避反恶意软件检测的工具,通过指定密码程序或可以从安全软件中伪装恶意程序的程序来实现。8虽然自2017年以来,小型犯罪集团的情况发生了变化,但整体格局仍然非常相似。 Sca4Yo业务结构由两名员工和至少五名经销商组成。没有明确的领导者。Sca4Yo每月以30美元和0.15美元的价格提供100,000次扫描。当时使用的支付方式包括Paypal、WebMoey和比特币。也有间接证据表明Sca4Yo的运营商可能参与了银行恶意软件。在趋势科技题为“Sca4Yo的兴衰”的报告中。9我们估计 ,在2013年,Scan4You每月的收入约为15,000美元。 Scan4You由RuslansBondars(akaB0rland)和JurijsMartisevs(akaGarrik)运营。Bondars是管理员,维护技术基础设施和公司网站。Martisevs担任管理员,通常通过电子邮件、ICQ、Jabber和Skype提供客户支持。 Scan4您至少有30,000个注册用户帐户。10Bodars在一家大公司担任软件开发人员的日常工作。运行CAV服务是很多工作,特别是当你有一天的工作,太。此外,为了帮助他们销售CAV服务,他们通过应用程序编程接口(API)建立了转售合作伙伴计划。一些经销商如file2sca,退款。我和idetectable为当地的非英语市场提供扫描服务,如西班牙或德国市场。 CAV服务 CAV服务NoDistributionnodetect.com不可检测roboserviceRazorScannerfile2scan拒绝我 图4.Scan4You经销商部分列表Scan4You具有一个小犯 罪集团的所有特征,如表2所示。 1层分层结构2名员工,5名附属公司估计年收入为180,000美元 表2.Scan4You拥有的小型网络犯罪业务的关键属性 图5.Scan4You的业务组织结构图 像Scan4You这样的小企业的估计季度收入 在本节中,我们提供了一个损益表的模型,该模型将近似于2013年第一季度的样子。这并不代表Sca4Yo的实际损益表,而只是一个虚构的小型犯罪集团的原型。如前所述,这份报告并不旨在百分之百准确,因为鉴于公共数据的限制,这是不可能的。相反,我们打算对这种规模的犯罪业务有所了解。 当时,Scan4You每月的收入约为15,000美元。100,000次扫描的价格为每月30美元,而一次扫描的价格为0.15美元。您可以看到,这是一项非常简单的业务。一方面是简单的收入流,另一方面是工资和托管成本,差额代表集团的净利润。 图6.一个虚构的小型地下犯罪集团的估计收入 假设 我们使用以下信息作为估计小型犯罪集团收入的基础,如图6所示: 1.1,500美元至2,000美元的俄罗斯IT平均工资 2.使用泄露的Conti聊天对话作为来源,帮派成员提到每月的估计数从3,000美元到4,000美元不等 3.使用Azure的虚拟机定价作为源,11估计每40台机器每月12美元,相当于当时的虚拟机(VM)或服务器成本 员工生活中的一天 Bodars生活中的一天可能会从他在互联网公司担任软件开发人员的日常工作开始,该公司在50个国家/地区的旅行,金融,娱乐和技术领域提供产品和服务 。Bodars保留了LiedI专业个人资料(参见图7)。Bodars显然有时会出差。有证据表明他和同事在纽约参加了一个聚会(见图8)。 根据Glassdoor的说法,截至2022年,像位于拉脱维亚的Bondars这样的软件开发人员每月的收入约为2,743欧元(截至撰写本文时的2,938.45美元 )。Bondars2015年作为软件开发人员的工作将包括使用Py