Il mondo del crimine informatico è in continua evoluzione e il suo cuore pulsante è oramai rappresentato dalle cyber gang. Tali bande criminali organizzate non sono di certo un fenomeno nuovo, ma è da un anno e mezzo a questa parte che le loro attività stanno diventando sempre più centrali, fagocitando quasi tutta la parte marginale di attori delle minacce da sempre abituati a “lavorare” in proprio.
Si assiste a vere e proprie collaborazioni atte a unificare gli sforzi dei singoli e puntarli verso un obiettivo unico, sprigionando così una potenza di attacco evidentemente più elevata.
Sono il corso degli eventi storici e geopolitici che coinvolgono grandi fette di popolazione ad aver dettato la strada verso questo cambiamento. Il discorso è ovviamente globale ed è un evento in costante aumento: il suo primo apice è stato raggiunto durante le varie fasi della pandemia Covid-19 e ora si è naturalmente protratto a sfruttare l’onda della guerra cibernetica, in un’ottica di difesa/attacco rispetto alla guerra cinetica in atto tra Russia e Ucraina.
Sembra proprio che le cyber gang stiano diventando effettivamente rilevanti nel piano degli incidenti di sicurezza informatica. A questo proposito, analizzeremo nel dettaglio quelle che sono le bande criminali note più pericolose e che stanno via via sempre di più organizzando le loro attività malevole, tanto da poter essere definite a tutti gli effetti quali organizzazioni criminali.
Ciò che si sta delineando è il fatto che le attività tipiche delle bande criminali organizzate nel cyberspazio sarebbero essenzialmente un’espansione dei loro crimini fisici. Chiaramente, atte a facilitare il riciclaggio di denaro. Ma anche, e soprattutto, il furto di denaro. Un esempio oltre il fenomeno ransomware, è costituito dai furti e dalle frodi sulle carte di credito, spesso parte di operazioni condotte da un’organizzazione criminale centrale.
Guida al ransomware: cos’è, come si prende e come rimuoverlo
Indice degli argomenti
Le cyber gang che sfruttano il ransomware
Nell’analisi dei gruppi criminali informatici non si può prescindere dal considerare come primarie, per diffusione e impatti, quelle che sviluppano, sfruttano o alimentano un software ransomware. Sicuramente considerate anche per la loro redditività, che negli ultimi anni ha dimostrato la sua grande espansione, basti pensare al dato secondo il quale a partire dal 2020 gli incrementi sui redditi da pagamenti di riscatto, sono aumentati di oltre il 300% rispetto all’anno precedente.
Questi sono gli ordini di grandezza sui quali si muove tale evoluzione, che ha portato alla crescita di diversi gruppi.
REvil/Sodin/Sodinokibi
Inizia le sue operazioni nel 2019 e si sviluppa notevolmente durante la pandemia Covid-19, sprigionando il massimo della sua potenza di attacco tra il 2020 e il 2021. Nasce da un rebranding di un altro precedente gruppo criminale chiamato GandCrab.
Secondo BlackFog, il malware di REvil era presente nel 13,1% degli attacchi ransomware rilevati nel 2021. Come per altre popolari bande criminali informatiche, si ritiene che REvil fosse di base in Russia.
Quello del Ransomware-as-a-Service (RaaS) era il modus operandi di questa cyber gang: un modello di business basato su una sorta di abbonamento che consente agli affiliati di utilizzare strumenti ransomware già sviluppati (magari personalizzati in alcuni dettagli) per eseguire attacchi ransomware. Gli affiliati guadagnano una percentuale su ogni pagamento di riscatto andato a buon fine.
REvil ha interrotto le proprie attività l’8 novembre 2021, quando le forze dell’ordine negli Stati Uniti e nell’Unione Europea hanno annunciato un’operazione congiunta, con una serie di arresti, contro il gruppo ransomware legato alla Russia, appunto “REvil”.
Il Dipartimento di Giustizia degli Stati Uniti (il “DOJ”) ha aperto un fascicolo relativo a un’accusa dell’agosto precedente, contro due individui a Dallas per presunto coinvolgimento in attacchi ransomware REvil contro diverse aziende statunitensi.
Le autorità europee, Europol, da parte loro hanno annunciato che la polizia in Romania e Corea del Sud aveva arrestato cinque persone ritenute affiliate di REvil. Questo momento viene considerato come il termine ultimo dell’operatività di REvil.
Questi interventi hanno sicuramente rallentato le attività di REvil per mesi, ma è notizia recente (aprile 2022) la riapertura dei siti web sotto rete Tor, di riferimento della gang, proprio come ultimo aggiornamento di questa banda criminale che ci invita alla valutazione di una riapertura delle proprie operazioni.
Conti/Ryuk/Wizard Spider
Presunto successore del ransomware Ryuk, Conti è attualmente una delle famiglie di ransomware attive più famigerate e anch’esso viene utilizzato come Ransomware-as-a-Service (RaaS) in attacchi di alto profilo.
La comunicazione del gruppo con l’esterno è garantita mediante sito web, raggiungibile mediante l’accesso alla rete Tor, sul quale vengono esposti i comunicati dell’organizzazione, ma anche le vittime e i rispettivi dati oggetto di richiesta di riscatto.
A differenza di altri gruppi, le cui tendenze possono sembrare in alcuni casi “più etiche”, Conti è considerata una gang senza scrupoli: lo hanno dimostrato bene durante la pandemia, con attacchi dall’impatto importante, lanciati contro le istituzioni sanitarie in Irlanda e Nuova Zelanda.
Nel 2021 ha avuto un posto quasi di parità con REvil, sulla base della popolarità nella presenza del proprio malware in attacchi informatici analizzati. Il 2022 invece si è aperto come un grande periodo di evoluzione per questa cyber gang, che sta delineando sempre più apertamente il proprio profilo.
Inizialmente, la società di sicurezza informatica DigitalShadow ha sempre avuto grande difficoltà a localizzarne la base di appartenenza. Ancora oggi non si è certi su quale sia il vero quartier generale del gruppo, ma la crisi in Ucraina ha sicuramente scatenato una nuova ondata di attacchi e prese di posizioni su tutti i fronti e Conti, da questo punto di vista, ha ufficialmente pubblicato la propria posizione politica riguardo l’attuale invasione russa.
A due giorni dall’inizio della guerra in Ucraina, il gruppo Conti ha infatti affermato il suo pieno sostegno alla Russia, assicurando di non attaccare certamente obiettivi (enti o aziende) russe e che metterà a disposizione tutto il proprio arsenale per difendere questo perimetro da attacchi cibernetici provenienti dall’esterno.
Per il gruppo Conti la guerra in Ucraina è stata anche fonte di preoccupazione per gli assetti interni. Dopo il loro aperto schieramento pro Russia, un ricercatore informatico ucraino è entrato in possesso e trapelato una grande collezione di materiale interno rubato all’organizzazione criminale, conosciuto subito dopo come Conti Leak. Dal materiale trapelato, infatti, investigatori e ricercatori di tutto il mondo hanno delineato abbastanza dettagliatamente il profilo e la struttura interna dell’organizzazione Conti. Il leak era composto per la maggior parte da chat di conversazioni interne tra i membri del gruppo, di quasi gli ultimi 18 mesi di storia. Facendone in questo modo trapelare i nomi, gli indirizzi email e anche wallet di criptovaluta. Strategie e metodi di attacco sono stati portati alla luce proprio grazie a questo materiale, ma anche la ricerca del personale, la fusione con altre gang, lo sviluppo di software, nonché il codice sorgente di alcune versioni del ransomware Conti.
Allo stato attuale Conti risulta non aver accusato gravi danni da questo data leak, sembra essersi ripresa il proprio assetto (nuovo), rimodernando parte dell’infrastruttura e del personale, di fatto nel 2022 non sembrano mancare gli attacchi alle vittime di tutto il mondo.
Solo in questi primi quattro mesi del 2022 Conti, in Italia ha preso di mira ed esfiltrato dati da almeno (quelle rivendicate) 9 società di alto valore.
Lockbit 2.0
Anche qui vediamo il risultato di una evoluzione del precedente gruppo Lockbit attivo maggiormente nel 2019. Lockbit 2.0 inizia le sue attività nel giugno del 2021 e dal 1 luglio al 15 agosto, TrendMicro ha rilevato tentativi di attacco che coinvolgono LockBit 2.0 in Cile, Italia, Taiwan e Regno Unito.
Il loro punto di contatto con l’esterno consiste in un sito web, raggiungibile mediante accesso a rete Tor, sul quale vengono esposte le vittime, con un conto alla rovescia che indica il termine per il pagamento del riscatto richiesto, e poi la pubblicazione dei dati che sono stati rubati durante l’attacco.
Il gruppo è stato particolarmente al centro dell’attenzione per il caso dell’attacco contro il colosso multinazionale Accenture.
È considerato uno dei gruppi più persistenti nei loro attacchi, per mezzo dei quali effettuano una serie di movimenti laterali sulla rete compromessa, rendendone sempre più difficile la bonifica post attacco.
LockBit 2.0 è orgoglioso di avere uno dei metodi di crittografia più veloci ed efficienti nell’odierno panorama delle minacce ransomware. Le analisi mostrano che utilizza un approccio multithread nella crittografia, crittografando anche solo parzialmente i file, con il risultato che solo 4 KB di dati vengono crittografati per ogni file. Questo meccanismo accelera sicuramente l’interezza del processo.
Anche Lockbit 2.0 è attualmente attivo e nel 2022, solo in Italia, finora ha preso di mira 23 aziende e società con una rivendicazione pubblica di attacco.
Non ha una base geografica ben definita, anche nella sua composizione si dichiara eterogenea con personalità provenienti da ogni parte del mondo. Anche per la situazione in Ucraina non ha preso una posizione netta, anzi ha espressamente pubblicato che l’organizzazione non ha fini politici né è legata a Stati specifici che ne comandano le operazioni, evitando quindi deliberatamente di schierarsi e sottolineando la propria continuità negli attacchi in maniera indistinta riguardo a posizione e strategicità del target preso di mira.
DarkSide
È una cyber gang di recente scoperta, è stata analizzata nel 2020 e ha sviluppato la maggior parte dei propri attacchi nel 2021. Darkside è nota per avere particolare cura di una reputazione al fine di operare eticamente: rilascia comunicati stampa, ha cercato (senza successo) di donare parte dei suoi proventi in beneficenza e una volta ha promesso di non prendere di mira le infrastrutture nazionali.
Nonostante ciò, DarkSide è meglio conosciuto come l’autore dell’attacco al Colonial Pipeline che ha interrotto la fornitura di petrolio alla costa orientale degli Stati Uniti all’inizio del 2021.
Dal punto di vista tecnico, DarkSide ransomware esegue attacchi di forza bruta e sfrutta le vulnerabilità note nel protocollo desktop remoto (RDP) per ottenere l’accesso iniziale. Dopo l’accesso iniziale, il ransomware DarkSide esegue la convalida sulle macchine da infettare, acquisendo informazioni come nome, indirizzo IP e lingua di sistema del computer target dei movimenti laterali.
DarkSide ransomware utilizza maggiormente le vulnerabilità CVE-2019-5544 e CVE-2020-3992. Entrambe le vulnerabilità hanno patch ampiamente disponibili, ma gli aggressori si rivolgono alle organizzazioni che utilizzano versioni senza patch o precedenti del software. Da qui la naturale importanza degli aggiornamenti costanti sulle patch per il software utilizzato in produzione.
La fine dell’attività sembra essere datata al post attacco contro Colonial Pipeline.
CLOP/FANCYCAT
Una minaccia tra le più complicate da eliminare, sui dispositivi infetti, si insinua in chiavi di registro dei sistemi Windows, garantendosi così un certo grado elevato di pervasività sulla vittima.
CLOP ransomware, considerato appartenente alla famiglia Cryptomix è attivo da febbraio 2019 e ha visto una rapida evoluzione nella sofisticatezza del proprio software.
Tra gli obiettivi vengono preferiti quasi sempre target aziendali strutturati, piuttosto che singoli utenti consumatori.
All’inizio di giugno 2021, sei presunti membri della banda CLOP sono stati arrestati a Kiev, a seguito di un’indagine internazionale che includeva le forze dell’ordine degli Stati Uniti e della Corea e l’exchange di criptovalute Binance. Da allora, tuttavia, il gruppo ha continuato a pubblicare online i dati rubati ai suoi obiettivi, dettaglio che fa capire come la banda sia ancora attiva e abbia trovato il modo di ereditare la propria criminalità con la sostituzione dei membri.
RansomEXX
Noto dal 2018 è tra i pochi malware di tipo ransomware capace di attaccare sia sistemi Linux che Windows. Compromette un dispositivo con accesso non autorizzato, rendendo inaccessibili i dati e chiedendo un riscatto con doppia estorsione: prima per riavere indietro i dati ormai crittografati e quindi illeggibili, poi per garantire la non diffusione degli stessi dati online, facendoli di fatto diventare di dominio pubblico.
È sicuramente il gruppo criminale che ci riguarda più da vicino, come Italia. RansomEXX infatti è considerato il gruppo responsabile dell’attacco di agosto 2021 contro l’hub vaccinale Regione Lazio, per il tramite del fornitore di servizi Lazio Crea SPA.
Nel dicembre 2020, RansomExx ha lanciato un sito di dark web leak (accessibile sotto rete Tor) in cui il gruppo pubblica i dati rubati delle vittime che si rifiutano di pagare il riscatto.
Ciò che si conosce dall’analisi del malware sfruttato da questo gruppo è che al termine del processo di crittografia, RansomExx rilascia una richiesta di riscatto chiamata in tutte le directory infette. La nota afferma che i file della vittima sono stati crittografati e fornisce istruzioni su come comunicare con gli aggressori. La stessa nota offre anche la possibilità di decrittografare gratuitamente un file crittografato per dimostrare la legittimità del decryptor fornito dall’attaccante (e quindi convincere al pagamento del riscatto).
STORMOUS
Si chiama STORMOUS RANSOMWARE, di origine iraniana, tra i vari obiettivi predilige la guerra cibernetica contro il mondo arabo e aziende dell’UAE.
Dalle evidenze finora raccolte, si evince che non hanno mai utilizzato siti web per i loro leaks, o pagine .onion sotto rete Tor, fino a subito dopo l’inizio dell’invasione russa dell’Ucraina, giorni nei quali, mediante sondaggio, è stata votata e realizzata l’opzione della messa online di un sito web sotto rete Tor.
Il gruppo tuttavia sembra stanziato almeno da aprile 2021 su Telegram, nel quale si leggono sia gli alert verso una minaccia, che poi dopo qualche ora, il leak e l’attribuzione dell’attacco vero e proprio.
Fin dall’inizio concentrata sul mondo delle grandi aziende dei paesi arabi, questa cyber gang dopo l’inizio della guerra in Ucraina si schiera pro Russia. Portando a segno, da questo momento in poi una serie di attacchi contro vittime europee e statunitensi.
Il campo di azione, inizialmente era il mondo del Real Estate di lusso o società finanziarie (fondi d’investimento o traders di materie prime), mentre nell’ultimo periodo, proprio in risposta alla guerra cibernetica creatasi, il livello è generalizzato e ci si rivolge a qualsiasi tipo di attività economica, purché geopoliticamente riconosciuta come fuori dal proprio perimetro.
Il metodo di attacco sembra essere sempre lo stesso: sfruttamento di insider nella società presa di mira, che presumibilmente dietro compensi, possa infettare un elemento della rete aziendale. A quel punto viene esfiltrato il materiale ritenuto interessante, crittografandone la parte lato vittima, con richiesta di riscatto, con trattativa da chiudersi in tempi abbastanza brevi.
Babuk
È una delle bande criminali più piccole e di recente scoperta, analizzata la prima volta nel 2021.
Il gruppo afferma di attenersi a un codice etico, evitando le ONG, le strutture educative, l’assistenza sanitaria e le aziende con entrate annuali inferiori a 4 milioni di dollari. Ma, secondo la società di sicurezza CyberInt, ha preso di mira cliniche private, importanti università e enti di beneficenza che supportano cause LGBTQ+ e BLM.
Anche Babuk opera nel Darkweb, come metodo di contatto con il mondo esterno.
La penetrazione nel sistema viene operata con lo sfruttamento di una varietà di vettori di ingresso popolari nei loro ambienti di destinazione. Questi possono includere: phishing in cui l’e-mail iniziale è collegata a un ceppo di malware diverso che funge da caricatore; sfruttare vulnerabilità ed esposizioni (CVE) comuni divulgate pubblicamente ma senza patch, in particolare in software di accesso remoto, server Web, hardware perimetrale di rete e firewall; e l’irruzione utilizzando account validi, spesso tramite accesso al protocollo desktop remoto (RDP) debolmente protetto con credenziali ottenute tramite attacchi stealer, precendenti.
PYSA
Il gruppo è noto per aver preso di mira agenzie governative, istituzioni educative e settore sanitario a partire dall’inizio del 2020. Il gruppo abbraccia il modello di estorsione su più fronti, ospitando un blog di lunga data di nomi e dati delle vittime.
Il ransomware PYSA osservato dal team di SentinelOne, dal punto di vista tecnico, viene distribuito tramite uno script batch che chiama poi “psexec.exe” per avviare uno script Windows PowerShell del tipo “$<hostname>share$p.ps1”.
Fanno anche uso di attacchi di brute-force contro sistemi di desktop remoto (RDP), al fine di portarne a segno la compromissione, sfruttando le debolezze umane nell’autenticazione dei profili.
Le cyber gang sponsorizzate dagli Stati
Le organizzazioni criminali informatiche stanno sviluppando strumenti e tecniche così sofisticati da essere sempre più adottati da aggressori sponsorizzati dallo stato. In questa maniera cambiano il proprio modello di business, notoriamente dedito alla redditività personale, in qualcosa di più simile a un gruppo di lavoro, alimentato con soldi forniti dall’alto, quindi capaci di spostare il proprio movente sullo spionaggio internazionale e altre campagne guidate maggiormente dall’attività politica.
Cozy Bear (APT29)
Attivo dal 2008, con base in Russia è un gruppo sponsorizzato dallo stato noto maggiormente per l’attacco del 2015 al Pentagono, di FireEye (presumibilmente), di SolarWinds (presumibilmente), furto di dati del vaccino Covid-19.
Dopo l’attacco a SolarWinds, che in qualche modo ha cambiato l’approccio alla sicurezza informatica, nell’ottica del monitoraggio della supply chain, il suo impatto ha persino spinto l’agenzia statunitense per la sicurezza informatica e delle infrastrutture (CISA) a emettere una direttiva di emergenza dedicata sulla violazione.
Tra i gruppi informatici sponsorizzati dallo stato, è sicuramente il più temuto.
Lazarus Group (APT38)
Di base in Corea del Nord, mira dal 2010 target maggiormente riferiti a società finanziarie nel mondo.
Il gruppo APT38, popolato e prolifico, utilizza una varietà di famiglie di malware personalizzate, inclusi backdoor, tunneler, dataminer e malware distruttivo per rubare milioni di dollari dalle istituzioni finanziarie e rendere inutilizzabili le reti delle vittime.
Tra i vettori di attacco adoperati, APT38 ha condotto operazioni in oltre 16 organizzazioni in almeno 11 paesi. Questo gruppo è attento, calcolato e ha dimostrato il desiderio di mantenere l’accesso agli ambienti delle vittime per tutto il tempo necessario a comprendere il layout della rete, le autorizzazioni richieste e le tecnologie di sistema per raggiungere i suoi obiettivi.
Lazarus APT è uno dei gruppi APT avanzati noti per prendere di mira l’industria della difesa. Il gruppo continua ad aggiornare il proprio set di strumenti per eludere i meccanismi di sicurezza. È stato rilevato a sfruttare Github come punto di comunicazione di comando e controllo (C2).
Double Dragon (APT41)
Gli analisti lo riconducono allo stato cinese con attività che risalgono al 2012, APT41 è conosciuto anche con il nome di Cicada, si tratta di un prolifico gruppo di minacce informatiche che svolge attività di spionaggio sponsorizzate dallo stato oltre ad attività finanziariamente motivate potenzialmente al di fuori del controllo statale. Di fatto le analisi post attacco hanno individuato almeno 46 ceppi diversi di codice e strumenti malevoli, su operazioni riconducibili a Double Dragon.
Pur essendo ancora in attività il gruppo, nel settembre 2020, ha subito dagli Stati Uniti l’identificazione e l’accusa di 5 suoi membri, in un caso che faceva parte di una più ampia repressione degli Stati Uniti contro gli sforzi di spionaggio informatico cinese.
Il vettore di attacco di Cicada è spesso basato su e-mail di spear-phishing con allegati quali file HTML (.chm) compilati per la prima compromissione. Una volta garantito l’accesso, il suo arsenale è costituito da una ampia varietà di tools (almeno 150 differenti) tra cui backdoors, info stealers, rootkit e bootkit Master Boot Record (MBR).
Fancy Bear (APT28)
Gruppo di attribuzione russa, conosciuto dal 2005 e noto anche con il nome di Tsar Team.
Le sue operazioni sono mirate maggiormente verso obiettivi quali il Caucaso, in particolare la Georgia, i paesi e le forze armate dell’Europa orientale, l’Organizzazione del Trattato del Nord Atlantico (NATO), altre organizzazioni europee di sicurezza e imprese collegate alla difesa.
Le vaste operazioni del gruppo contro le vittime nei settori politico e della difesa sembrano rispecchiare gli interessi strategici del governo russo, che punta fortemente a un’affiliazione con il servizio di intelligence militare del paese, il GRU.
Dalle analisi di CrowdStrike, Fancy Bear “ha dedicato molto tempo allo sviluppo del suo strumento di attacco primario noto come XAgent e contemporaneamente a sfruttare strumenti proprietari come X-Tunnel, WinIDS, Foozer e DownRange”. È grazie a questi strumenti che, a giudicare dalla sua storia, riesce a portare a termine attacchi di rilievo.
Nel 2017 si è impegnato in una serie di attacchi informatici sui siti Web della campagna di Emmanuel Macron nel periodo fino alle elezioni presidenziali francesi.
Helix Kitten (APT34)
Con base in Iras, attivo dal 2007, ha un trascorsi di attacchi rivolti a settori molto eterogenei tra cui quello finanziario, governativo, energetico, chimico e delle telecomunicazioni, e ha concentrato in gran parte le sue operazioni in Medio Oriente.
È noto anche come OilRig, e nell’aprile 2019, a subito un duro colpo dopo una serie di fughe di notizie su Telegram che hanno rivelato i nomi, gli strumenti e le attività interne del gruppo. Un data leak che ha destato molta preoccupazione interna, sospendendo le operazioni per diversi mesi, ma effettivamente non chiudendo definitivamente la propria attività. Infatti nel 2020 APT34 rivendica la responsabilità di altri nuovi attacchi, scatenando il caos in tutto il Medio Oriente e l’Asia meridionale.
Gli analisti reputano che Helix Kitten sia coinvolti di fatto in un’operazione di spionaggio estero a lungo termine, al servizio del proprio Paese di appartenenza.
Altre cyber gang indipendenti
Lapsus$
Questa cyber gang è noto da circa metà 2021, le prime attività vanno fatte risalire all’agosto dello stesso anno, con attacchi a compagnie telefoniche del Regno Unito.
È conosciuto per non adoperare software malevolo nelle proprie intrusioni, né ransomware. Effettua invece estorsioni sulla base di dati che Lapsus$ riesce a rubare tramite la compromissione di account interni alla società o ente preso di mira, con il coinvolgimento evidentemente remunerato di insiders.
In questa maniera si è fatto carico di attacchi rivolti a grandi multinazionali di diversi settori, tra le quali Vodafone portoghese, Nvidia, Samsung, Microsoft e LG, per citarne alcuni. L’obiettivo è quasi sempre esfiltrare archivi sensibili come i codici sorgente degli applicativi interni, con i quali effettuare la richiesta di riscatto.
La cyber gang opera dall’inizio unicamente su Telegram, per le comunicazioni esterne.
Non utilizzando strumenti di attacco come malware o altri software “arginabili” da una protezione degli endpoints, l’architettura di rete Zero Trust e una forte igiene della sicurezza risultano essere le migliori difese contro questo tipo di attore di minacce.
La struttura interna delle cyber gang
Negli anni, analisti, investigatori e ricercatori di sicurezza informatica hanno avuto modo di esplorare fughe di dati, intromissioni e operazioni sotto copertura, all’interno delle diverse cyber gang, proprio come accada con lo studio della criminalità organizzata nel mondo reale.
Da queste analisi emerge un profilo che, con l’evoluzione, nel presente sta diventando sempre più comune tra i gruppi: l’organizzazione è settorializzata, gestita quasi come una impresa.
Ciò che si apprende infatti è che il gruppo ha sì una forma piramidale, ma sotto il vertice ha una serie di suddivisioni di compiti che settorizzano i membri che ne fanno parte.
C’è sempre un vertice a guida della cyber gang, dove vengono prese le decisioni più “rilevanti” nelle attività criminali da compiere. Al vertice confluiscono i diversi “capi” settore, ciascuno incaricato di supervisionare (assumere, licenziare e mantenere) le attività dei membri all’interno e nella maggior parte dei casi si dividono in base alle competenze personali in: programmatori software, amministratori di rete, specialisti nelle intrusioni (i cosiddetti pentesters), data miners ossia coloro che si occupano di estrarre informazioni utili, classificandole e rendendole sfruttabili, da grandi quantità di dati, in questo caso rubati dalle organizzazioni; persino personale esperto di economia e marketing, per garantire la monetizzazione dell’attività criminale.
