La trahison interne qui a coûté des millions aux victimes d'un rançongiciel

| 14 juillet 2026
La trahison interne qui a coûté des millions aux victimes d'un rançongiciel

Lorsqu’un groupe de cybercriminels spécialisés dans les ransomwares verrouille vos serveurs, le négociateur externe que vous engagez doit tout savoir sur votre entreprise afin de pouvoir négocier une rançon moins élevée. Vous lui indiquez ce que couvre votre cyberassurance et ce que votre conseil d’administration est prêt à payer. Vous n’avez pas le choix. C’est justement pour cela que vous l’engagez.

Mais que se passerait-il si votre négociateur de confiance était un escroc ?

Angelo Martino, un négociateur spécialisé dans les ransomwares âgé de 41 ans et travaillant pour DigitalMint, une société de gestion des incidents basée à Chicago, a passé sept mois en 2023 à traiter toutes ces informations. Mais au lieu de les utiliser pour aider à limiter les dégâts subis par les clients de son entreprise, il les a directement transmises au groupe de ransomware BlackCat qui les faisait chanter. En échange, il a reçu une part des gains d'origine criminelle.

Il a été condamné le 3 juillet à 70 mois de prison fédérale pour association de malfaiteurs visant à entraver le commerce interétatique par le biais d'extorsion.

L'onglet « Discussion privée »

À partir d’avril 2023, Martino a utilisé un canal de discussion intermédiaire — invisible pour son employeur — pour transmettre des informations confidentielles sur ses clients aux négociateurs du groupe de ransomware BlackCat/ALPHV. Cela lui a permis de leur communiquer des renseignements précieux concernant les plafonds des polices de cyberassurance de ses clients ainsi que le contenu de leurs discussions internes sur les négociations. En somme, il a indiqué aux pirates ce qu’ils devaient exiger.

Leurs demandes étaient exorbitantes. Cinq clients de DigitalMint, dont Martino avait mené les négociations, ont versé entre avril et septembre 2023 des rançons allant de 213 000 à 26,8 millions de dollars, pour un montant total de plus de 75 millions de dollars. Parmi les victimes figuraient une entreprise du secteur de l'hôtellerie-restauration, une association à but non lucratif, une société de services financiers, une entreprise de distribution et une société du secteur médical. Toutes avaient fait appel à DigitalMint pour les aider.

Dans un cas précis, Martino a déclaré à DigitalMint qu’il transmettait aux pirates l’offre de rançon d’un client tout en indiquant secrètement au groupe de cybercriminels que ce dernier était prêt à payer 2 millions de dollars supplémentaires. C’est en raison de ses agissements que le client a finalement versé cette somme supplémentaire.

Puis la situation a empiré

Fournir des renseignements à BlackCat n'était apparemment pas suffisant. En mai 2023, Martino s'est lui-même inscrit en tant qu'affilié de BlackCat et a partagé cet accès avec Kevin Martin, un autre négociateur de DigitalMint, ainsi qu'avec Ryan Goldberg, responsable de la gestion des incidents chez Sygnia. Les trois hommes complotaient depuis l'année précédente pour mener à bien cette opération, avant même que DigitalMint n'embauche Martin.

Le trio a alors commencé à utiliser BlackCat directement contre d’autres victimes. Parmi leurs gains figuraient 1,2 million de dollars provenant d’une entreprise de dispositifs médicaux. Martin et Goldberg ont chacun été condamnés à quatre ans de prison en avril 2026. Les autorités ont également saisi environ 10 millions de dollars d’actifs appartenant à Martino, notamment des cryptomonnaies, des véhicules, un food truck et un bateau de pêche de luxe. On ne peut pas dire qu’il soit passé inaperçu.

BlackCat était une opération de ransomware particulièrement pernicieuse. Elle ciblait les établissements de santé et allait jusqu’à publier des clichés de mammographies des victimes. Après que les forces de l’ordre ont démantelé l’infrastructure du groupe en décembre 2023, le FBI a mis à disposition un outil de déchiffrement pour aider les victimes à récupérer leurs fichiers.

La vérification des antécédents et le suivi doivent être améliorés

DigitalMint affirme n'avoir pas eu connaissance de ce stratagème et que Martino a délibérément dissimulé ses agissements à l'entreprise. À l'instar de Sygnia, elle a licencié les employés après avoir été informée des faits par le ministère de la Justice.

Nous n'avons aucune raison de mettre en doute les affirmations des entreprises selon lesquelles elles n'étaient pas au courant, et le tribunal ne l'a pas fait non plus. C'est sans doute d'autant plus inquiétant que cela signifie que les procédures de vérification et de surveillance mises en place par ces organisations n'ont pas permis de mettre au jour un complot criminel qui a duré sept mois et impliquait trois initiés issus de deux entreprises différentes.

On pourrait dire que Martino s'en est tiré à bon compte. Les barèmes fédéraux de détermination de la peine recommandaient une peine comprise entre six et 7,25 ans de prison, et les procureurs avaient requis une peine se situant à peu près au milieu de cette fourchette. Quoi qu'il en soit, il passera une grande partie du reste de la décennie derrière les barreaux. Une audience visant à déterminer le montant de la réparation qu'il devra verser est prévue le 17 septembre.


Nous ne nous contentons pas de signaler les menaces, nous les éliminons.

Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éliminez les menaces de vos appareils en téléchargeant Malwarebytes dès aujourd'hui.

À propos de l'auteur

Danny Bradbury est journaliste spécialisé dans les technologies depuis 1989 et rédacteur indépendant depuis 1994. Il couvre un large éventail de questions technologiques pour des publics allant des consommateurs aux développeurs de logiciels et aux directeurs informatiques. Il rédige également des articles pour de nombreux cadres supérieurs du secteur technologique. Originaire du Royaume-Uni, il vit aujourd'hui dans l'ouest du Canada.