De inside job die slachtoffers van ransomware miljoenen heeft gekost

| 14 juli 2026
De inside job die slachtoffers van ransomware miljoenen heeft gekost

Wanneer een ransomwaregroep je servers blokkeert, moet de externe onderhandelaar die je inhuurt alles over je weten, zodat hij of zij een lagere lossom kan bedingen. Je vertelt hem of haar wat je cyberverzekering dekt en wat je raad van bestuur bereid is te betalen. Dat moet je wel. Dat is immers de enige reden waarom je zo iemand inhuurt.

Maar wat als je vertrouwde onderhandelaar een oplichter blijkt te zijn?

Angelo Martino, een 41-jarige onderhandelaar in ransomwarezaken bij DigitalMint, een in Chicago gevestigd bedrijf dat zich bezighoudt met incidentrespons, heeft in 2023 zeven maanden lang al die informatie verwerkt. Maar in plaats van deze informatie te gebruiken om de schade voor de klanten van zijn bedrijf zo klein mogelijk te houden, gaf hij deze rechtstreeks door aan de BlackCat-ransomwarebende die hen afperste. In ruil daarvoor kreeg hij een deel van de opbrengsten van de criminele activiteiten.

Hij werd op 3 juli veroordeeld tot 70 maanden federale gevangenisstraf wegens samenzwering om de interstatelijke handel te verstoren door middel van afpersing.

Het tabblad ‘Privéchat’

Vanaf april 2023 gebruikte Martino een tussenliggend chatkanaal – een kanaal dat zijn werkgever niet kon zien – om vertrouwelijke informatie van klanten door te geven aan de onderhandelaars van de BlackCat/ALPHV-ransomwarebende. Zo kon hij waardevolle informatie doorgeven over de dekkingslimieten van de cyberverzekeringen van klanten en over hun interne besprekingen over de onderhandelingen. Kortom, hij vertelde de aanvallers wat ze moesten eisen.

Ze eisten een flink bedrag. Vijf klanten van DigitalMint, waarvan Martino de onderhandelingen leidde, betaalden tussen april en september 2023 losgeldbedragen variërend van 213.000 dollar tot 26,8 miljoen dollar, wat neerkomt op een totaalbedrag van meer dan 75 miljoen dollar. Tot de slachtoffers behoorden een bedrijf in de horeca, een non-profitorganisatie, een financiële dienstverlener, een detailhandelsbedrijf en een medisch bedrijf. Ze hadden allemaal DigitalMint ingeschakeld om hen bij te staan.

In één geval vertelde Martino aan DigitalMint dat hij het bod van een klant op de losgeldsom naar de aanvallers stuurde, terwijl hij de ransomwarebende in het geheim liet weten dat de klant 2 miljoen dollar extra zou betalen. Door zijn toedoen betaalde de klant uiteindelijk het extra bedrag.

Toen werd het nog erger

Het bleek niet voldoende te zijn om BlackCat informatie te verstrekken. In mei 2023 meldde Martino zich zelf aan als BlackCat-partner en deelde hij die toegang met zijn collega-onderhandelaar bij DigitalMint, Kevin Martin, en Ryan Goldberg, manager incidentrespons bij Sygnia. Het drietal was al sinds het voorgaande jaar bezig met het smeden van plannen voor deze operatie, nog voordat DigitalMint Martin in dienst had genomen.

Het trio begon BlackCat rechtstreeks tegen nieuwe slachtoffers in te zetten. Onder hun buit bevond zich 1,2 miljoen dollar van een bedrijf in medische apparatuur. Martin en Goldberg werden in april 2026 elk veroordeeld tot vier jaar gevangenisstraf. De autoriteiten namen ook voor ongeveer 10 miljoen dollar aan bezittingen van Martino in beslag, waaronder cryptovaluta, voertuigen, een foodtruck en een luxe vissersboot. Hij bleef niet bepaald onopgemerkt.

BlackCat was een bijzonder kwaadaardige ransomware-operatie. De bende richtte zich op zorginstellingen en publiceerde zelfs foto’s van borstkankeronderzoeken van slachtoffers. Nadat de politie in december 2023 de infrastructuur van de bende had ontmanteld, bracht de FBI een decodeertool uit om slachtoffers te helpen hun bestanden te herstellen.

De screening en het toezicht moeten worden verbeterd

DigitalMint zegt dat het niet op de hoogte was van de zwendel en dat Martino zijn handelingen opzettelijk voor het bedrijf verborgen hield. Samen met Sygnia heeft het de werknemers ontslagen nadat het ministerie van Justitie hen op de hoogte had gebracht van de misdrijven.

We hebben geen reden om de beweringen van de bedrijven dat ze hiervan niet op de hoogte waren, in twijfel te trekken, en dat deed de rechtbank evenmin. Dat is misschien nog wel zorgwekkender, omdat het betekent dat de controle- en toezichtsprocedures die de organisaties hadden ingesteld, er niet in zijn geslaagd een zeven maanden durende criminele samenzwering aan het licht te brengen waarbij drie insiders van twee verschillende bedrijven betrokken waren.

Je zou kunnen stellen dat Martino er nog genadig vanaf is gekomen. De federale strafmaatrichtlijnen adviseerden een gevangenisstraf van zes tot 7,25 jaar, en de openbare aanklagers hadden een straf gevraagd die ergens in het midden van die bandbreedte lag. Hoe dan ook, hij zal een groot deel van de rest van dit decennium achter de tralies doorbrengen. Op 17 september staat een zitting gepland om te bepalen hoeveel hij aan schadevergoeding moet betalen.


We rapporteren niet alleen over bedreigingen - we verwijderen ze ook

Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen van uw apparaten door Malwarebytes vandaag nog te downloaden.

Over de auteur

Danny Bradbury is sinds 1989 journalist gespecialiseerd in technologie en sinds 1994 freelance schrijver. Hij behandelt een breed scala aan technologische onderwerpen voor doelgroepen variërend van consumenten tot softwareontwikkelaars en CIO's. Hij schrijft ook als ghostwriter artikelen voor veel C-suite business executives in de technologiesector. Hij komt uit het Verenigd Koninkrijk maar woont nu in West-Canada.