Cyberbedrohungen
Einsichten in die Struktur von Cybercrime-Geschäften
Die Organisationsstruktur cyberkrimineller Gruppen ähnelt der legitimer Firmen und wird mit zunehmendem Umsatz und steigender Mitgliederzahl immer komplexer. Wie können Forscher dieses Interna-Wissen für ihre Recherchen nutzen?
In den letzten 20 Jahren hat sich die Landschaft der Cyberbedrohungen stark gewandelt: Von einer Ära der Cyberangriffe mit schädlichen Payloads entwickelte sich die Cyberkriminalität zu einem Raum, in dem sich böswillige Akteure in Gruppen mit hauptsächlich finanziellen Interessen organisieren.
Unternehmen haben es also nun mit einer neuen Art von Cyberkriminellen zu tun, die untereinander in hartem Wettbewerb stehen, um sich einen möglichst großen Anteil an einem äußerst lukrativen Markt zu sichern. In diesem Umfeld organisieren sich böswillige Akteure in einer Weise, die eine deutliche Ähnlichkeit mit legitimen Unternehmen an den Tag legt. Unsere Recherchen haben gezeigt, dass die Organisationsstruktur von cyberkriminellen Gruppen mit zunehmendem Umsatz und steigender Mitgliederzahl immer komplexer wird, weil dabei zwangsläufig neue Hierarchieebenen entstehen.
Unser Whitepaper „Inside the Halls of a Cybercrime Business“ untersucht kleine, mittlere und große kriminelle Gruppen aufgrund der Informationen aus Festnahmen durch Polizei und Befragung von Insidern. Außerdem stellen wir jede dieser Gruppen traditionellen Unternehmen vergleichbarer Größe gegenüber, um relevante Erkenntnisse über diese kriminellen Organisationen zu gewinnen. Der Bericht geht auch der Frage nach, wie Bedrohungsforscher und Polizei Informationen über die Struktur einer kriminellen Organisation nutzen können, um ihre Ermittlungen weiterzubringen.
Definition der Größe von kriminellen Gruppen
Cyberkriminelle Organisationen arbeiten naturgemäß im Verborgenen, sodass es unmöglich ist, die herkömmliche Definition von legalen Unternehmen auf sie anzuwenden, da diese alle kriminellen Gruppen zu kleinen Unternehmen macht. Daher haben wir für diese Recherche die Definition selbst festgelegt: Die Größe krimineller Gruppen wird anhand ihrer Mitarbeiterzahl, ihrer Hierarchieebenen und ihrer Jahreseinnahmen bestimmt, wie sich aus unseren bislang veröffentlichten Untersuchungen verschiedener krimineller Gruppen ergeben hat.
Demnach hat ein kleines Unternehmen einen bis fünf Mitarbeiter/Partner und ein Jahreseinkommen unter 500.000 Dollar, ein mittleres hat sechs bis 49 Mitarbeiter/Partner und ein Jahreseinkommen bis zu 50 Millionen Dollar, während ein großes kriminelles Unternehmen mehr als 50 Beschäftigte hat und mehr als 50 Millionen Dollar im Jahr einnimmt.
Kleine kriminelle Unternehmen dominieren den Untergrundmarkt
Kleine Gruppen von Kriminellen, die mäßige Jahreseinnahmen von nicht mehr als 500.000 Dollar erwirtschaften, machen den größten Teil des cyberkriminellen Markts aus. Eine typische kleine kriminelle Gruppe besteht aus einem Teamleiter, einem Programmierer, einem Supportmitarbeiter und einem Netzwerkadministrator. Bei nur wenigen Mitgliedern, die in Form eines Partnerschaftsmodells arbeiten, übernimmt jeder oft mehrere Aufgaben, z. B. Werbung, Rekrutierung und Finanzen. Die Mitglieder kleiner Gruppen gehen neben ihrer Beschäftigung in der Gang oft noch anderen Tätigkeiten nach.
Ein oder mehrere Unternehmer gründen ein kleines kriminelles Unternehmen, um ein einziges Produkt oder einen Service zu entwickeln und zu verkaufen. Diese Unternehmer finanzieren den Betrieb selbst und besorgen Ressourcen, um die Entwickler des Malware-Codes, die Server und andere Nebenkosten zu bezahlen. In der Recherche dient Scan4You als Beispiel für eine kleine Geschäftsgruppe, die sich zwischen 2012 und 2017 einen beachtlichen Ruf im Untergrund erwarb. Sie war einer der bekanntesten Counter Antivirus (auch bekannt als Counter AV oder CAV) Services im Bereich der Cyberkriminalität.
Mittelgroße kriminelle Gruppen mit mehr Verwaltungsebenen
Mittelgroße kriminelle Organisationen haben eine komplexere Struktur als kleine, da sie mit zusätzlichen Verwaltungsebenen arbeiten, wie sie in herkömmlichen Unternehmen derselben Größe zu finden sind. Mit sechs und 49 Mitarbeitern verfügen sie über grundlegende Funktionsgruppen und Berichtsstränge, wobei es einen Leiter für den gesamten Betrieb gibt. Diese Gruppen erwirtschaften Einnahmen von nicht mehr als 50 Millionen Dollar pro Jahr, was ihren Mitgliedern eine Vollzeitbeschäftigung ermöglicht.
Für die Untersuchung der Struktur mittelgroßer krimineller Gruppen wählten wir MaxiDed. Die Bande begann als kleiner Hosting-Anbieter, ohne sich offen als Anbieter illegaler Aktivitäten anzupreisen. 2011 änderte die Gruppe ihr Geschäftsmodell und wurde zu einem Bulletproof-Hosting-Provider für Untergrundgeschäfte, die mit Command-and-Control-Servern (C&C) für Distributed Denial of Service (DDoS)-Botnets, Cyberspionage, Malvertising, Spam und Hosting von Kindesmissbrauchsmaterial arbeiten.
Große kriminelle Unternehmen mit mehrstufiger Organisationsstruktur
Das Vorhandensein funktionaler Abteilungen wie Personal- und IT-Abteilungen ist ein zentrales Merkmal großer krimineller Unternehmen, dem Aufbau gewöhnlicher Unternehmen verblüffend ähnlich. Bei einer Belegschaftsgröße von mehr als 50 Mitarbeitern ist es nicht verwunderlich, dass auch die Berichtsstränge sehr hierarchisch sind, wobei das mittlere und das obere Management eine pyramidenartige Struktur bilden.
Es fällt auf, wie streng die Manager die Leistung ihrer Mitarbeiter überwachen und sogar so weit gehen, Programme zur Förderung und Aufrechterhaltung der Motivation ihrer Mitarbeiter aufzusetzen. Große kriminelle Organisationen erwirtschaften einen Jahresumsatz von mehr als 50 Millionen Dollar, was in etwa dem Umsatz großer, legaler Unternehmen entspricht.
Für unsere Recherche der großen kriminellen Unternehmen wählten wird die Ransomware-Gruppe Conti. Es handelt sich um einen bekannter Anbieter von Ransomware-as-a-Service (RaaS), der von vielen als Nachfolger der Ryuk-Ransomware angesehen wird. Die Betreiber sind für ihren geschickten Einsatz doppelter Erpressungstechniken bekannt geworden und haben Berichten zufolge nicht nur gestohlene Daten veröffentlicht, sondern auch den Zugang zu Opferorganisationen verhökert, die sich weigerten, das Lösegeld zu zahlen.
Ist es möglich, die Größe einer cyberkriminellen Gruppe zum Zeitpunkt einer Infiltration einzuschätzen, so kann dies für Bedrohungsanalysten den Weg zu neue Informationen ebnen. Dazu gehören etwa die Finanzberichte einer Gruppe, Organigramme, Listen von Mitarbeitern, die Kryptowährungs-Wallets von Gruppenmitgliedern und abteilungsspezifische Unterlagen. All dies kann sehr hilfreich sein.
- Für Ermittler im Bereich der Internetkriminalität: Die Kenntnis der Führungsstruktur krimineller Gruppen liefert ihnen grundlegende Informationen über die Rollen und die Anzahl der Personen, nach denen sie Ausschau halten müssen, und gibt gleichzeitig Aufschluss über Schlüsselpersonen innerhalb der Gruppe, die genauer überwacht und untersucht werden müssen.
- Für die Strafverfolgungsbehörden: Die Kenntnis der Größe einer kriminellen Organisation kann der Polizei dabei helfen, genau zu bestimmen, welche Gruppen zuerst verfolgt werden müssen, um die größten Auswirkungen auf die Aktivitäten der Cyberkriminellen zu erzielen.
Fazit
Obwohl die Kenntnis der Größe einer kriminellen Organisation für Bedrohungsforscher von Vorteil ist, bedeutet dies nicht automatisch, dass diese Gruppen leicht zugänglich sind. Dennoch kann der Zugriff auf sensible Informationen den Operationen der Cyberkriminalität einen größeren Schaden zufügen als die bloße Abschaltung von Servern. Die geleakten Conti-Chats und ihre Auswirkungen sind ein deutlicher Beweis dafür.
Weitere Details enthält das Whitepaper „Inside the Halls of a Cybercrime Business“.