Kiedy grupa hakerów stosująca oprogramowanie ransomware zablokuje twoje serwery, zewnętrzny negocjator, którego zatrudnisz, musi wiedzieć o tobie wszystko, aby mógł wynegocjować niższy okup. Musisz mu powiedzieć, co obejmuje twoje ubezpieczenie cyberbezpieczeństwa i jaką kwotę zarząd jest skłonny zapłacić. Musisz to zrobić. Właśnie po to go zatrudniasz.
A co, jeśli twój zaufany negocjator okaże się oszustem?
Angelo Martino, 41-letni negocjator ds. oprogramowania ransomware w firmie DigitalMint z siedzibą w Chicago, zajmującej się reagowaniem na incydenty, spędził w 2023 roku siedem miesięcy na przetwarzaniu wszystkich tych informacji. Jednak zamiast wykorzystać je do zminimalizowania szkód poniesionych przez klientów swojej firmy, przekazał je bezpośrednio grupie BlackCat, która ich szantażowała. W zamian otrzymał część zysków pochodzących z przestępczej działalności.
3 lipca skazano go na 70 miesięcy pozbawienia wolności w więzieniu federalnym za spisek mający na celu zakłócenie handlu międzystanowego poprzez wymuszenie.
Zakładka „Czat prywatny”
Od kwietnia 2023 roku Martino korzystał z pośredniego kanału czatu – niedostępnego dla jego pracodawcy – aby przekazywać poufne materiały dotyczące klientów negocjatorom z grupy BlackCat/ALPHV zajmującej się oprogramowaniem ransomware. Dzięki temu mógł przekazywać cenne informacje na temat limitów polis cyberubezpieczeniowych klientów oraz ich wewnętrznych dyskusji dotyczących negocjacji. Krótko mówiąc, podpowiadał atakującym, o co mają prosić.
Żądali ogromnych kwot. Pięciu klientów firmy DigitalMint, których negocjacjami zajmował się Martino, zapłaciło w okresie od kwietnia do września 2023 r. okupy w wysokości od 213 000 do 26,8 mln dolarów, co łącznie dało ponad 75 mln dolarów. Wśród ofiar znalazły się: firma z branży hotelarskiej, organizacja non-profit, firma świadcząca usługi finansowe, firma detaliczna oraz firma z branży medycznej. Wszystkie one zatrudniły firmę DigitalMint, aby uzyskać pomoc.
W jednym z przypadków Martino powiedział serwisowi DigitalMint, że wysyłał atakującym ofertę okupu od klienta, jednocześnie potajemnie informując grupę przestępczą, że klient zapłaci dodatkowe 2 miliony dolarów. W wyniku jego działań klient ostatecznie zapłacił tę dodatkową kwotę.
Potem było jeszcze gorzej
Przekazywanie informacji wywiadowczych firmie BlackCat najwyraźniej nie wystarczyło. W maju 2023 roku Martino sam zarejestrował się jako partner BlackCat i udostępnił te dane innemu negocjatorowi z DigitalMint, Kevinowi Martinowi, oraz kierownikowi ds. reagowania na incydenty w firmie Sygnia, Ryanowi Goldbergowi. Cała trójka spiskowała od poprzedniego roku, aby przeprowadzić tę operację, jeszcze zanim firma DigitalMint zatrudniła Martina.
Trio zaczęło wykorzystywać program BlackCat bezpośrednio przeciwko kolejnym ofiarom. Wśród ich łupów znalazło się 1,2 miliona dolarów od firmy produkującej urządzenia medyczne. W kwietniu 2026 roku Martin i Goldberg zostali skazani na po cztery lata więzienia. Władze skonfiskowały również Martino aktywa o wartości około 10 milionów dolarów, w tym kryptowaluty, pojazdy, food trucka oraz luksusową łódź rybacką. Nie dało się go raczej przeoczyć.
BlackCat był wyjątkowo niebezpieczną operacją typu ransomware. Ataki były skierowane przeciwko placówkom służby zdrowia, a sprawcy opublikowali nawet zdjęcia badań obrazowych raka piersi ofiar. Po tym, jak w grudniu 2023 r. organy ścigania zlikwidowały infrastrukturę tej grupy przestępczej, FBI udostępniło narzędzie deszyfrujące, aby pomóc ofiarom w odzyskaniu ich plików.
Należy usprawnić proces weryfikacji i monitorowania
Firma DigitalMint twierdzi, że nie wiedziała o tym oszustwie i że Martino celowo ukrywał swoje działania przed firmą. Podobnie jak Sygnia, zwolniła tych pracowników po tym, jak Departament Sprawiedliwości poinformował ją o popełnionych przestępstwach.
Nie mamy powodu, by kwestionować twierdzenia tych firm o nieświadomości, podobnie jak nie uczynił tego sąd. Jest to prawdopodobnie jeszcze bardziej niepokojące, ponieważ oznacza to, że jakiekolwiek procedury weryfikacyjne i monitorujące stosowane przez te organizacje nie pozwoliły wykryć trwającego siedem miesięcy przestępczego spisku, w który zaangażowani byli trzej pracownicy z dwóch różnych firm.
Można by argumentować, że Martino wyszedł z tego zbyt łagodnie. Federalne wytyczne dotyczące wymiaru kary przewidywały karę pozbawienia wolności od sześciu do 7,25 roku, a prokuratorzy wnioskowali o wyrok plasujący się mniej więcej w środku tego przedziału. Tak czy inaczej, większość pozostałej części tej dekady spędzi za kratkami. Rozprawa mająca na celu ustalenie wysokości odszkodowania, jakie będzie musiał zapłacić, została wyznaczona na 17 września.
Nie tylko informujemy o zagrożeniach - my je usuwamy
Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia przed zagrożeniami, pobierając Malwarebytes już dziś.




