La truffa interna che è costata milioni alle vittime del ransomware

| 14 luglio 2026
La truffa interna che è costata milioni alle vittime del ransomware

Quando un gruppo di hacker che utilizza un ransomware blocca i tuoi server, il negoziatore esterno che assumi deve sapere tutto di te, in modo da poter negoziare un riscatto più basso. Devi dirgli cosa copre la tua assicurazione contro i rischi informatici e quanto il tuo consiglio di amministrazione è disposto a pagare. Devi farlo. È proprio questo il motivo per cui lo assumi.

Ma cosa succede se il tuo negoziatore di fiducia è un truffatore?

Angelo Martino, un negoziatore specializzato in ransomware di 41 anni presso la DigitalMint, società di risposta agli incidenti con sede a Chicago, ha trascorso sette mesi nel 2023 a gestire tutte quelle informazioni. Ma invece di utilizzarle per aiutare a ridurre al minimo i danni subiti dai clienti della sua azienda, le ha trasmesse direttamente alla banda di ransomware BlackCat che li stava ricattando. In cambio, ha ottenuto una percentuale dei proventi illeciti.

Il 3 luglio è stato condannato a 70 mesi di reclusione in un carcere federale per associazione a delinquere finalizzata a ostacolare il commercio interstatale mediante estorsione.

La scheda della chat privata

A partire dall’aprile 2023, Martino ha utilizzato un canale di chat intermedio — invisibile al suo datore di lavoro — per trasmettere materiale riservato dei clienti ai negoziatori della banda di ransomware BlackCat/ALPHV. Ciò gli ha permesso di fornire informazioni preziose sui limiti delle polizze di assicurazione informatica dei clienti e sulle loro discussioni interne relative alle trattative. In breve, ha indicato agli aggressori cosa chiedere.

La richiesta era ingente. Cinque clienti di DigitalMint, per i quali Martino aveva gestito le trattative, hanno pagato riscatti compresi tra 213.000 e 26,8 milioni di dollari tra aprile e settembre 2023, per un totale di oltre 75 milioni di dollari. Tra le vittime figuravano un’azienda del settore alberghiero, un’organizzazione senza scopo di lucro, una società di servizi finanziari, un’azienda di vendita al dettaglio e un’azienda del settore medico. Tutte avevano ingaggiato DigitalMint per ricevere assistenza.

In un caso, Martino ha raccontato a DigitalMint che stava inviando agli autori dell'attacco l'offerta di riscatto di un cliente, comunicando segretamente alla banda di hacker che il cliente avrebbe pagato 2 milioni di dollari in più. Alla fine, il cliente ha pagato la somma aggiuntiva proprio a causa delle sue azioni.

Poi la situazione è peggiorata

A quanto pare, fornire informazioni a BlackCat non era bastato. Nel maggio 2023, Martino si è registrato a sua volta come affiliato di BlackCat e ha condiviso tale accesso con Kevin Martin, suo collega negoziatore presso DigitalMint, e con Ryan Goldberg, responsabile della risposta agli incidenti presso Sygnia. I tre stavano complottando fin dall’anno precedente per mettere in atto questa operazione, prima ancora che DigitalMint assumesse Martin.

Il trio ha iniziato a utilizzare BlackCat direttamente contro altre vittime. Tra i loro proventi figuravano 1,2 milioni di dollari sottratti a un’azienda produttrice di dispositivi medici. Nell’aprile 2026, Martin e Goldberg sono stati condannati ciascuno a quattro anni di carcere. Le autorità hanno inoltre sequestrato a Martino beni per un valore di circa 10 milioni di dollari, tra cui criptovalute, veicoli, un food truck e una barca da pesca di lusso. Non è che fosse proprio passato inosservato.

BlackCat è stata un'operazione di ransomware particolarmente perfida. Ha preso di mira strutture sanitarie e ha persino pubblicato immagini diagnostiche relative al cancro al seno delle vittime. Dopo che le forze dell'ordine hanno smantellato l'infrastruttura della banda nel dicembre 2023, l'FBI ha rilasciato uno strumento di decrittazione per aiutare le vittime a recuperare i propri file.

La verifica e il monitoraggio devono essere migliorati

DigitalMint sostiene di non essere stata a conoscenza della truffa e che Martino abbia deliberatamente nascosto le sue azioni all’azienda. Insieme a Sygnia, ha licenziato i dipendenti dopo che il Dipartimento di Giustizia li ha informati dei reati.

Non abbiamo motivo di mettere in dubbio le dichiarazioni delle società, secondo cui non ne erano a conoscenza, e lo stesso ha fatto il tribunale. Ciò è probabilmente ancora più preoccupante, poiché significa che le procedure di controllo e monitoraggio messe in atto dalle organizzazioni non sono riuscite a portare alla luce un complotto criminale durato sette mesi che ha coinvolto tre dipendenti di due diverse società.

Si potrebbe sostenere che Martino se la sia cavata con poco. Le linee guida federali in materia di condanne raccomandavano una pena detentiva compresa tra i sei e i 7,25 anni, e i pubblici ministeri avevano chiesto una pena che si attestasse a metà di tale intervallo. In ogni caso, trascorrerà gran parte del resto del decennio dietro le sbarre. L’udienza per stabilire l’ammontare del risarcimento che dovrà versare è fissata per il 17 settembre.


Non ci limitiamo a segnalare le minacce, ma le eliminiamo.

I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi scaricando Malwarebytes oggi stesso.

Informazioni sull'autore

Danny Bradbury è giornalista specializzato in tecnologia dal 1989 e scrittore freelance dal 1994. Si occupa di un'ampia gamma di argomenti tecnologici per un pubblico che va dai consumatori agli sviluppatori di software e ai CIO. Inoltre, scrive articoli per molti dirigenti del settore tecnologico. È originario del Regno Unito, ma ora vive nel Canada occidentale.