網路資安威脅
重創網路犯罪集團,這件事比關閉駭客伺服器更重要!
趨勢科技檢視了三種不同規模的犯罪集團來了解它們與類似規模的合法企業在結構上有何差異。此外我們也說明了研究人員若對目標犯罪組織的規模和結構有所了解,將對其調查工作有何幫助。
解構現代三種網路犯罪組織
過去 20 年來,資安威脅情勢已有相當大的轉變,網路犯罪已經從以破壞為目的網路攻擊時代,演變出各種以獲利為目標的網路犯罪集團。
結果,企業現在面對的是一種全新類型的網路犯罪集團,他們彼此之間會激烈競爭,以便在利潤豐厚的市場中占有更大的一席之地。今日,駭客組織與合法企業在結構上已變得非常相似。根據我們的研究發現,隨著網路犯罪集團的營收和規模越來越大,他們的組織結構也變得更加複雜,因為在發展過程當中無可避免地會出現新的組織階層。
趨勢科技的研究報告「網路犯罪組織內部情況」(Inside the Halls of a Cybercrime Business,PDF 檔案請點我) 根據警方破獲的案例與內部知情人士的資訊,詳細研究了大、中、小型犯罪集團的內部結構。我們也將它們與傳統相似規模的企業對照,從中發掘有關這些犯罪組織的洞察。
此外,我們的報告也說明威脅研究人員與執法機關如何運用網路犯罪組織的內部結構資訊來協助他們進行調查工作。尤其,這樣的知識可引導他們發現一些對抗網路犯罪組織的關鍵資訊。
犯罪集團的三種規模劃分
網路犯罪組織的運作向來都相當神秘,正因為他們如此神密,所以我們無法將傳統合法機構的分類方式套用到網路犯罪組織,否則可能所有的犯罪組織都會被歸類為小型企業。
因此,在這份研究當中,我們自己定義了一套分類標準,根據員工人數、組織階層數目,以及年營收來判定網路犯罪集團的規模,這是根據我們目前發布的大量犯罪集團研究所蒐集來的資料。
為了解決缺乏明確條件來判定犯罪集團規模的問題,我們訂定了一套標準 (圖 1) 來協助資安威脅研究人員針對犯罪組織的規模進行分類並補充其他可取得的資訊。為了一致性,當一個犯罪組織被分到某一類時,就代表它完全符合標準中設定的條件。
| 員工及加盟夥伴數量 | 年營收 | 管理階層數量 | |
| 小型 | 1-5 | 低於 50 萬美元 | 1 |
| 中型 | 6-49 | 最高 5 千萬美元 | 2 |
| 大型 | 50以上 | 5 千萬美元以上 | 3 |
| 表 1:判定犯罪組織規模的標準 |
小型犯罪組織的年營收不超過 50 萬美元:
網路地下市集是以年營收不大的小型犯罪組織為主
小型犯罪組織的年營收不大 (不超過 50 萬美元) 這占了網路犯罪集團的絕大多數。一名首領、一名程式設計師、一名支援人員,再加上一名網路系統管理員就構成了一個典型的小型犯罪集團。集團內只有少數幾名成員,主要靠彼此合作來運作,每一名員工通常身兼數職並負責多項工作,例如:廣告、徵才、財務等等。小型犯罪集團的成員除了參加該組織之外,通常白天還有一份正職工作。
一名或多名創業家成立了一個小型犯罪集團來開發並銷售某種特殊的產品或服務。像這樣的創業家,通常自行出資來支援組織的運作並分配資源來支付惡意程式設計師及伺服器的費用,以及其他的管理成本。
趨勢科技的研究以 Scan4You 為小型犯罪集團的範例,該集團在 2012 至 2017 年期間還算小有名氣。在五年的經營期間,它曾是網路犯罪界最有名的防毒反制 (Counter AV,簡稱 CAV) 服務之一。
中型犯罪組織的年營收不超過 5 千萬美元:
他們和對應的傳統企業有相似之處, 有能力提供全職的工作
相較於小型犯罪組織的扁平結構,中型犯罪組織擁有較複雜的結構,因為他們像傳統的中型企業一樣,有額外的管理階層。中型犯罪集團內部有一些基本的功能群組和上下級呈報關係,員工數量在 6 至 49 人之間,組織架構最頂端為一名負責人帶領整個組織運作。這類集團的年營收不超過 5 千萬美元,有能力為集團成員提供全職的工作。
在調查中型犯罪集團時,我們選定了 MaxiDed 作為研究對象。該集團一開始是一家小型的代管服務供應商,對其在非法活動方面的定位並無太大宣傳。2011 年,MaxiDed 將業務轉型成一家防彈主機代管服務供應商,提供幕後操縱 (C&C) 伺服器給犯罪集團用來從事殭屍網路分散式阻斷服務 (DDoS) 攻擊、網路間諜活動、惡意廣告、垃圾郵件以及存放兒童剝削內容。
大型犯罪集團年營收在 5 千萬美元以上:
就像合法大型企業一樣,有人力資源和 IT各種功能的部門與多重階層的組織架構
大型犯罪集團的主要特點是擁有各種功能的部門,如人力資源和 IT,跟一般企業非常相似。由於員工人數在 50 名以上,因此擁有上下級呈報關係也是相當正常的事,而且還分成中階與高階管理階層,形成一個金字塔的組織結構。
值得一提的是,管理階層對員工的績效監督相當緊密,甚至實行了一套方案來激勵及維持員工達成個人財務目標的動力。大型犯罪組織的年營收在 5 千萬美元以上,與一般大型合法企業相當。
我們以 Conti勒索病毒集團為例來說明大型犯罪組織的內部運作。Conti 是一個知名的勒索病毒服務 ((Ransomware-as-a-Service,簡稱 RaaS)供應商,許多人認為它是 Ryuk 勒索病毒集團的後繼者。Conti 集團之所以著名,在於它非常善用雙重勒索技巧,而且據稱如果受害者拒絕支付贖金的話,Conti 除了公布受害企業的資料之外,還會販售其網路存取權限。
犯罪分析師為何要知道犯罪組織的規模大小?
當遭到駭客集團滲透時,威脅分析師若能掌握駭客集團的規模大小,就有機會發現一些有利的新資訊,包括:駭客集團的損益表、組織架構圖、員工名單、集團成員的虛擬加密貨幣錢包,以及各部門相關的文件等等。這類資訊對於調查人員和執法機關非常有幫助,可讓他們重重打擊犯罪組織的營運。
對網路犯罪調查人員來說:了解犯罪組織的管理架構可讓調查人員對於犯罪組織人員的角色和數量有一個基本的概念,而且還能掌握該監控並更深入研究集團內的哪些關鍵人物。
對執法機關來說:知道犯罪組織的大小,有助於執法人員鎖定該優先鎖定哪些集團進行追查,才能最有效打擊網路犯罪。
雖然,知道犯罪組織的大小對威脅研究人員有利,但這並不意味著犯罪集團就能輕易被破解。儘管如此,如果能夠掌握一些敏感的資訊,還是可以對網路犯罪的營運造成更重的打擊,遠勝於單純關閉駭客的伺服器,例如惡名昭彰的駭客集團Conti 的聊天對話記錄遭到外洩所帶來的後續效應,就是最佳例證。 如需有關各犯罪集團規模及組織架構的更多資訊,請閱讀我們的研究報告「網路犯罪組織內部情況」(Inside the Halls of a Cybercrime Business,PDF 檔案請點我)。
原文出處:Unpacking the Structure of Modern Cybercrime Organizations