Identifying key threat actors based on their expertise

Abstract

L’avènement du Big Data a rendu la collecte et l’analyse des renseignements sur les cybermenaces difficiles en raison de leur volume, conduisant la recherche à se concentrer sur l’identification d’acteurs clés. Cependant, ces études délaissent l’expertise dans l’identification de ces acteurs. L’expertise est pertinente puisqu’elle est étroitement liée au succès criminel. Cette recherche s’appuie sur une évaluation proactive de l’expertise potentielle envers des types d’attaque afin identifier les acteurs clés correspondant dans les forums de cybercrime. En étudiant 4 441 acteurs sur des forums de cybercrime, cette étude utilise l’algorithme de détection de communautés Leiden et partitionnement K-means, en plus d’un cadre criminologique, afin d’identifier les acteurs clés experts selon leur type d’attaque de prédilection. Les analyses révèlent plusieurs résultats pertinents. Premièrement, les types d’attaque agissent comme des catalyseurs de communautés d’intérêt, transcendant les frontières des forums. Deuxièmement, les acteurs clés identifiés dans cette étude représentent moins de 2% de la population et, constituent une minorité prometteuse pour l’allocation des ressources dans l’industrie du renseignement. Troisièmement, en adoptant une opérationnalisation criminologique de l’expertise intégrant l’évaluation objective du niveau de compétence, de l’engagement et du taux d’activité, l’étude introduit un cadre plus holistique pour l’étude des cybercriminels. Enfin, l’intégration des fondements criminologiques à l’approche hybride propre à la littérature en informatique dans l’analyse des communautés de threat actors a permis une nouvelle compréhension de cette population et de leur expertise. Ce faisant, cette étude contribue à combler le manque d’intérêt criminologique pour l’identification et l’étude des acteurs clés selon leur expertise.

The advent of Big Data has made the collection and analysis of cyberthreat intelligence challenging due to its volume, leading research to focus on identifying key threat actors; yet these studies have failed to consider the expertise of these actors. Expertise is relevant as it is closely bound to criminal success. Hence, this research relies on a technical expertise in attack patterns to identify key threat actors in hacking forums. Specifically, studying 4,441 actors from cybercrime forums, this study leverages Leiden community detection, K-means and a criminological framework to identify areas of expertise and detect their related expert key actors. The analyses reveal several key contributions. First, attack patterns act as catalysts of cybercrime communities of shared interest, transcending forum borders. Second, key actors identified in this study account for less than 2% of our population and represent a promising scarcity for resources allocation in cyber threat intelligence production. Third, by adopting a criminological operationalization of expertise, integrating an objective assessment of skill level, commitment, and activity rate, the study introduces a more comprehensive framework for understanding cybercriminals. The focus on expertise results in more complete profiles of experts that are actionable for cyberthreat prevention. Combining criminological theoretical foundations with previous literature’s hybrid approach in the analysis of threat actor communities, this study contributes to a new comprehension of threat actor populations and their expertise. Consequently, this research contributes to bridging the criminological gap regarding the identification and study of key actors based on their expertise.