De Russische regering heeft haar houding ten opzichte van cybercriminele groepen verschoven en is geëvolueerd van passieve tolerantie naar actief beheer, volgens een report van het cyberbeveiligingsbedrijf Recorded Future. Voorheen stonden de autoriteiten erom bekend dat ze cybercriminelen ongecontroleerd lieten opereren zolang ze zich niet op Russische belangen richtten, maar nu oefenen ze steeds meer controle uit over deze netwerken.
Volgens het rapport begon de verandering rond 2023 toen de druk van internationale wetshandhavingsacties toenam. Russische inlichtingen- en wetshandhavingsdiensten rekruteren of coöpteren nu cybercrimineel talent wanneer het aansluit bij de belangen van de staat, tolereren activiteiten die geopolitieke doelstellingen dienen en ingrijpen om groepen te verstoren of te onderdrukken die gênant of politiek ongemakkelijk worden.
Een van de kenmerken van deze verschuiving zijn spraakmakende arrestaties en inbeslagnames die lijken te zijn gechoreografeerd om de staatscontrole te versterken. Na de internationale verwijdering van diensten zoals Cryptex en UAPS in het kader van Operation Endgame, kondigde de Russische regering bijvoorbeeld onderzoeken aan naar die platforms, arresteerde bijna 100 personen en nam ongeveer $ 16 miljoen aan activa in beslag.
Analisten zeggen dat deze acties minder gaan over het ontmantelen van schadelijke groepen en meer over het beheren van het ecosysteem, het richten op uitbetalingen en het mogelijk maken van infrastructuur, terwijl bedreigingsactoren die inlichtingen of verstoringsmogelijkheden leveren, behouden blijven.
In het verslag wordt benadrukt dat het model eerder selectief dan alomvattend is. Cybercriminele groepen waarvan de activiteiten in overeenstemming zijn met de doelstellingen van de Russische staat, blijven relatief straffeloos opereren, terwijl degenen die als een verplichting worden beschouwd, het doelwit zijn. Gelekte chats van groepen als Conti en TrickBot bevestigen naar verluidt banden tussen senior operators en Russische inlichtingendiensten.
Ondertussen past de cybercrimineel zich zelf aan en geeft hij steeds meer de voorkeur aan gedecentraliseerde operaties en gesloten rekrutering om verstoring te voorkomen.
Voor organisaties en overheden buiten Rusland heeft de verschuiving belangrijke implicaties. De vervaging van de grens tussen door de staat gesponsorde activiteiten en criminele ondernemingen betekent dat aanvallen hardnekkiger kunnen worden, meer middelen hebben en moeilijker toe te schrijven zijn. Het rapport suggereert dat veel organisaties, vooral in Europa, zich moeten voorbereiden op een dreigingslandschap waarin criminele groepen indirect worden gesteund of getolereerd door statelijke actoren.
Tegelijkertijd waarschuwen experts dat het nieuwe model niet gelijk staat aan een harde aanpak van cybercriminaliteit door Rusland over de hele linie. Het vertegenwoordigt eerder een governancemodel, een model waarin bepaalde elementen van het cybercriminele ecosysteem worden gereguleerd of getolereerd, afhankelijk van het belang van de staat.
Naarmate de relatie tussen criminelen en statelijke actoren zich blijft ontwikkelen, moeten cyberverdedigers mogelijk hun aannames over de attributie van bedreigingen en risicomodellen herzien. Inzicht in de vraag of een dreigingsactor puur voor winst opereert of wordt beheerd als een instrument van staatsbeleid, wordt steeds relevanter voor defensie- en inlichtingenstrategieën.