网络犯罪组织的规模与结构分析

关键要点

• Conti勒索病毒团伙的泄露文件展示了网络犯罪组织的运作方式，但只是地下商业的一部分。
• 了解网络犯罪组织的规模对于破解其运营流程至关重要。
• 小型、中型和大型犯罪组织有不同的结构和员工数量，对应的年收入也不同。
• 越是大型的犯罪组织，其管理模式越复杂，容易出现管理问题。

一年前，的系列文件泄露让人们首次深入了解网络犯罪组织的内部运作。然而，作为2021年最大和最多产的网络犯罪团伙之一，Conti仅仅是庞大地下商业生态的一部分，各种网络犯罪组织各具特色，有着自己的结构和运作策略。

为了全面理解这些组织的复杂性，趋势科技的研究报告””强调了定义和理解这些组织规模的重要性。

“规模是关键，”趋势科技威胁情报副总裁JonClay表示。”像其他合法商业一样，网络犯罪分子往往根据组织的规模发展他们的商业模式。因此，了解规模可以帮助防御者更好地把握运营流程，最终渗透或摧毁这些团伙。”

然而，传统的公司规模分类不能直接用于网络犯罪组织，因为这些组织通常规模较小。

在研究中，研究者制定了自己的指导方针，以观察到的员工数量、年度收入和层级结构为基础定义犯罪业务规模。此外，研究者还详细举例说明了小型、中型和大型分类下的组织，并根据内部信息和执法逮捕结果提供了它们的季度财务报告估计。

网络犯罪业务规模的判断标准（来源：趋势科技）

“这些规模指南并不是严格的数字，就像合法商业并不总是符合预设类别一样，但它们在分类和方面提供了有价值的见解，”Clay表示。

小型犯罪组织：无层级，专注产品，兼职员工

小型犯罪组织是网络犯罪市场的主导者，一般只有一到五名成员，年收入低于50万美元，没有管理层次。像真实世界中的初创企业一样，这些团伙往往专注于一个领域，旨在建立在地下市场的声誉—若获得成功，可能演变为更大的组织。

研究分析了Scan4You，一个在2012年至2017年间运营的流行反病毒服务，作为小型网络犯罪商业设定的例子。研究发现该组织仅由几名个体运营，没有明确的领导者—其中一人负责技术基础设施，另一人负责客户服务，并在2013年每月收入约15,000美元。

估计Scan4You这类小型地下犯罪组织的收入（来源：趋势科技）

Scan4You的运营者在从事网络犯罪的同时还拥有其他工作，这也是大多数小型犯罪团伙的普遍情况。具体而言，研究者发现其成员之一RuslansBondars（又名Borland）是某全球互联网公司的软件开发者，主要负责Python编程。根据Glassdoor的数据，截至2022年，像Bondars这样的拉脱维亚软件开发者每月收入约为3,000美元。

中型犯罪组织：基本报告线，全职员工

另一方面，中型组织具有更为层级化的结构，通常遵循金字塔式的组织图，有两层管理，成员数量在六到49人之间，年收入最高可达5000万美元。

MaxiDed是一家于2018年被荷兰警方查获的无防弹托管提供商，它被分类为中型网络犯罪组织，由一名老板领导至少五名管理员，年收入估计为925,000美元。

MaxiDed在2013年的估计年收入（来源：趋势科技）

该团伙始于2008年作为一家合法的小型托管提供商，随后转变为托管非法活动，包括儿童虐待材料、DDoS僵尸网络、网络间谍活动、恶意广告和垃圾邮件。