Der Insider-Coup, der Ransomware-Opfern Millionen gekostet hat

| 14. Juli 2026
Der Insider-Coup, der Ransomware-Opfern Millionen gekostet hat

Wenn eine Ransomware-Bande Ihre Server sperrt, muss der von Ihnen beauftragte externe Vermittler alles über Sie wissen, damit er eine geringere Lösegeldzahlung aushandeln kann. Sie teilen ihm mit, was Ihre Cyberversicherung abdeckt und wie viel Ihr Vorstand zu zahlen bereit ist. Das müssen Sie tun. Das ist schließlich der einzige Grund, warum Sie ihn beauftragen.

Aber was ist, wenn Ihr vertrauenswürdiger Verhandlungsführer ein Gauner ist?

Angelo Martino, ein 41-jähriger Ransomware-Verhandlungsführer bei DigitalMint, einem in Chicago ansässigen Unternehmen für Incident Response, verbrachte im Jahr 2023 sieben Monate damit, all diese Informationen zu bearbeiten. Doch anstatt sie dazu zu nutzen, den Schaden für die Kunden seines Unternehmens so gering wie möglich zu halten, gab er sie direkt an die BlackCat-Ransomware-Bande weiter, die diese erpresste. Im Gegenzug erhielt er einen Anteil an den kriminellen Erlösen.

Er wurde am 3. Juli wegen Verschwörung zur Beeinträchtigung des zwischenstaatlichen Handels durch Erpressung zu 70 Monaten Haft in einem Bundesgefängnis verurteilt.

Die Registerkarte „Privater Chat“

Ab April 2023 nutzte Martino einen zwischengeschalteten Chat-Kanal – den sein Arbeitgeber nicht einsehen konnte –, um vertrauliche Informationen von Kunden an die Verhandlungsführer der BlackCat/ALPHV-Ransomware-Bande weiterzuleiten. Auf diese Weise konnte er wertvolle Informationen über die Deckungssummen der Cyber-Versicherungspolicen der Kunden sowie über deren interne Diskussionen bezüglich der Verhandlungen weitergeben. Kurz gesagt: Er teilte den Angreifern mit, welche Forderungen sie stellen sollten.

Die Forderungen waren hoch. Fünf Kunden von DigitalMint, deren Verhandlungen Martino führte, zahlten zwischen April und September 2023 Lösegeld in Höhe von 213.000 bis 26,8 Millionen US-Dollar, was einer Gesamtsumme von mehr als 75 Millionen US-Dollar entspricht. Zu den Opfern zählten ein Unternehmen aus dem Gastgewerbe, eine gemeinnützige Organisation, ein Finanzdienstleister, ein Einzelhandelsunternehmen und ein Medizinunternehmen. Sie alle hatten DigitalMint beauftragt, ihnen zu helfen.

In einem Fall erzählte Martino gegenüber DigitalMint, dass er den Angreifern das Lösegeldangebot eines Kunden übermittelte, während er der Ransomware-Bande heimlich mitteilte, dass der Kunde 2 Millionen Dollar mehr zahlen würde. Aufgrund seines Vorgehens zahlte der Kunde schließlich den zusätzlichen Betrag.

Dann wurde es noch schlimmer

Es reichte offenbar nicht aus, BlackCat mit Informationen zu versorgen. Im Mai 2023 meldete sich Martino selbst als BlackCat-Partner an und teilte diesen Zugang mit seinem Kollegen Kevin Martin, einem Verhandlungsführer bei DigitalMint, sowie Ryan Goldberg, dem Incident-Response-Manager bei Sygnia. Die drei hatten bereits seit dem Vorjahr gemeinsam an der Durchführung dieser Operation gearbeitet, noch bevor DigitalMint Martin überhaupt eingestellt hatte.

Das Trio begann, BlackCat direkt gegen weitere Opfer einzusetzen. Zu ihrer Beute gehörten 1,2 Millionen Dollar von einem Medizintechnikunternehmen. Martin und Goldberg wurden im April 2026 jeweils zu vier Jahren Haft verurteilt. Die Behörden beschlagnahmten außerdem Vermögenswerte im Wert von rund 10 Millionen Dollar von Martino, darunter Kryptowährung, Fahrzeuge, einen Imbisswagen und ein Luxus-Fischerboot. Er war nicht gerade unauffällig.

BlackCat war eine besonders bösartige Ransomware-Operation. Sie richtete sich gegen Einrichtungen des Gesundheitswesens und veröffentlichte sogar Fotos von Brustkrebs-Bildaufnahmen der Opfer. Nachdem die Strafverfolgungsbehörden im Dezember 2023 die Infrastruktur der Bande zerschlagen hatten, veröffentlichte das FBI ein Entschlüsselungsprogramm, um den Opfern bei der Wiederherstellung ihrer Dateien zu helfen.

Die Überprüfung und Überwachung müssen verbessert werden

DigitalMint gibt an, nichts von dem Betrug gewusst zu haben, und dass Martino seine Handlungen bewusst vor dem Unternehmen verheimlicht habe. Zusammen mit Sygnia entließ das Unternehmen die Mitarbeiter, nachdem das Justizministerium sie über die Straftaten informiert hatte.

Wir haben keinen Grund, die Beteuerungen der Unternehmen, nichts davon gewusst zu haben, anzuzweifeln, und das Gericht tat dies ebenfalls nicht. Das ist wohl umso besorgniserregender, da es bedeutet, dass die von den Organisationen eingerichteten Überprüfungs- und Überwachungsverfahren eine siebenmonatige kriminelle Verschwörung, an der drei Insider aus zwei verschiedenen Unternehmen beteiligt waren, nicht aufdecken konnten.

Man könnte argumentieren, dass Martino glimpflich davongekommen ist. Die bundesstaatlichen Strafmaßrichtlinien sahen eine Haftstrafe zwischen sechs und 7,25 Jahren vor, und die Staatsanwaltschaft hatte eine Strafe im mittleren Bereich dieses Spektrums gefordert. So oder so wird er einen Großteil des restlichen Jahrzehnts hinter Gittern verbringen. Eine Anhörung zur Festsetzung der Höhe des Schadenersatzes ist für den 17. September angesetzt.


Wir berichten nicht nur über Bedrohungen - wir beseitigen sie

Cybersecurity-Risiken sollten nie über eine Schlagzeile hinausgehen. Laden Sie noch heute Malwarebytes herunter, um Bedrohungen von Ihren Geräten fernzuhalten.

Über den Autor

Danny Bradbury ist seit 1989 Journalist mit Schwerpunkt Technologie und seit 1994 freiberuflicher Autor. Er berichtet über eine breite Palette von Technologiethemen für ein Publikum, das von Verbrauchern bis hin zu Softwareentwicklern und CIOs reicht. Er schreibt auch Ghostwriting-Artikel für viele Führungskräfte im Technologiesektor. Er stammt aus dem Vereinigten Königreich, lebt aber jetzt in Westkanada.