Ciência e tecnologia

Este negociador de ransomware foi contratado para combater hackers, mas trabalhou secretamente com eles


O que você está fazendo? ! Os promotores federais dizem que um negociador de ransomware explorou pipelines usados ​​para gerenciar ataques cibernéticos para transformar dados confidenciais de violação em alavancagem para os hackers que ele deveria combater. O negociador, Angelo Martino, de 41 anos, foi condenado a 70 meses de prisão após se declarar culpado de conspirar com afiliados da operação de ransomware BlackCat.

Martino trabalhou anteriormente na DigitalMint, que ajuda empresas a responder a incidentes de ransomware, incluindo a negociação de pagamentos com invasores. Nesta função, ele é responsável por casos de violação ativos e pela obtenção de informações detalhadas sobre as vítimas, incluindo pedidos de resgate, cobertura de seguro e estratégias de negociação interna. Ele aproveitou a oportunidade para ajudar discretamente seu agressor, segundo os promotores.

Documentos judiciais descrevem como Martino se comunicou com os operadores BlackCat através de múltiplos canais relacionados à infraestrutura da organização. Além do chat de negociação padrão, ele também usa o painel BlackCat e uma função de “mediação” separada na plataforma de mensagens criptografadas Tox. Esses canais permitem a comunicação direta com o invasor fora do campo de visão da vítima.

“O objetivo dessas comunicações intermediárias por bate-papo era maximizar os pagamentos de resgate que as vítimas fariam aos atores do gato preto”, escreveram os promotores. “As informações que os réus forneceram sem o conhecimento da vítima incluíam os limites da política da vítima e as posições de negociação interna. Em troca do fornecimento de informações confidenciais, os réus receberam uma parte dos pagamentos de ransomware na forma de moeda digital.”

Os promotores disseram que as informações ajudaram a moldar os pedidos de resgate durante as negociações. Entre abril e setembro de 2023, cinco clientes afetados pagaram mais de US$ 75 milhões às afiliadas da BlackCat. Alguns desses pagamentos podem ser mais elevados do que deveriam ser devidos, como resultado das informações fornecidas por Martino.

As vítimas incluem organizações dos setores de serviços financeiros, saúde, varejo, hotelaria e organizações sem fins lucrativos. Além dos pagamentos de resgate, os ataques perturbam as operações e, em alguns casos, impactam a prestação de serviços.

Posteriormente, Martino obteve acesso à plataforma de ransomware BlackCat em maio de 2023. Esse acesso, normalmente reservado a parceiros confiáveis ​​que implantaram o malware, foi compartilhado com dois co-conspiradores, Kevin Martin e Ryan Goldberg.

“Depois que os Réus obtiveram acesso à afiliada, os Réus, Co-Conspirador 1 e Co-Conspirador 2 concordaram e usaram o ransomware e a plataforma BlackCat para atacar e extorquir vítimas e compartilhar o produto do resgate entre si e com os administradores do BlackCat”, afirma o documento.

Além dos incidentes envolvendo clientes de Martino, o grupo utilizou essas credenciais para lançar ataques adicionais. Um dos alvos foi uma empresa de dispositivos médicos, que pagou US$ 1,2 milhão. Outras vítimas não pagaram, mas ainda assim sofreram impactos operacionais e financeiros.

Os promotores disseram que Martino recebeu milhões de dólares em criptomoedas em conexão com o esquema. Embora alguns dos bens tenham sido apreendidos pelo FBI, alguns foram convertidos em compras, incluindo duas casas, um barco e vários veículos. Após a sua libertação da prisão, foi condenado a confiscar os seus bens e a pagar 10% dos seus rendimentos.

Martino pediu uma pena mais curta de 24 meses, citando a sua cooperação com as autoridades na acusação dos seus co-conspiradores. No início deste ano, Martin e Goldberg foram condenados cada um a quatro anos de prisão.

Os encarregados da aplicação da lei enfatizaram que a quebra de confiança estava no cerne do caso. “Angelo Martino traiu as vítimas que foi contratado para representar, entregando suas posições confidenciais de negociação aos atores da Black Cat, a fim de arrecadar resgates e enriquecer”, disse Brett Leatherman, diretor assistente encarregado da Divisão Cibernética do FBI.

BlackCat, também conhecido como ALPHV, opera como uma plataforma de ransomware como serviço, fornecendo malware e infraestrutura para afiliados que realizam ataques e compartilham os lucros. O grupo esteve ligado a uma série de eventos de alto perfil, incluindo a interrupção do sistema de pagamento Change Healthcare em 2024. O FBI disse em 2023 que desenvolveu ferramentas de descriptografia para o ransomware e apreendeu parte da infraestrutura do grupo. Após essas ações, as afiliadas continuaram a operar.

A DigitalMint disse que não estava ciente do comportamento de Martino e disse que ele era “também uma vítima involuntária”. A empresa disse que demitiu os funcionários envolvidos depois que o Departamento de Justiça contatou e cooperou com os investigadores.

Segundo a DigitalMint, Martino contornou as medidas de segurança interna ao utilizar canais de comunicação não autorizados e invisíveis dentro do sistema. A empresa disse que seus controles atendiam aos padrões da indústria, mas suas ações foram deliberadamente ocultadas.

Este caso destaca os riscos nas respostas ao ransomware: os negociadores muitas vezes trabalham em sistemas controlados por invasores ao lidar com dados confidenciais. Os promotores disseram que o acesso foi usado para beneficiar os agressores, não as vítimas.



Link da fonte

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *