Procuradores alegam que profissionais de resposta a incidentes usaram ALPHV/BlackCat para cometer série de ataques ransomware

Procuradores federais acusaram três profissionais de cibersegurança que alegadamente exploraram as suas posições para realizar uma série de ataques ransomware contra pelo menos cinco empresas dos EUA em 2023. Os acusados — Ryan Clifford Goldberg, Kevin Tyler Martin e um co-conspirador não identificado — terão usado o ALPHV, também conhecido como ransomware BlackCat, para atacar várias organizações enquanto ainda trabalhavam em funções de resposta a incidentes e negociação de ransomware. Goldberg era diretor de resposta a incidentes na Sygnia Cybersecurity Services, e Martin era negociador de ransomware na DigitalMint. O terceiro conspirador, também ligado à DigitalMint, alegadamente obteve uma conta afiliada na plataforma de ransomware ALPHV. Os procuradores dizem que a conspiração durou de maio de 2023 até abril de 2025.\n\nAs vítimas incluíram uma empresa médica sediada na Flórida, uma farmacêutica em Maryland, um consultório médico na Califórnia, uma empresa de engenharia na Califórnia e um fabricante de drones na Virgínia. Embora o trio tenha extorquido com sucesso quase 1,3 milhões de dólares da empresa médica em maio de 2023, as tentativas de obter pagamentos das outras vítimas terão falhado. A Sygnia confirmou o antigo emprego de Goldberg e disse que ele foi imediatamente despedido após a descoberta das alegações. A DigitalMint também reconheceu que um ex-funcionário foi indiciado por organizar ataques ransomware, mas notou que os atos criminosos ocorreram fora dos sistemas da empresa e que nenhum dado de cliente foi comprometido. Nenhuma das empresas detalhou como ou quando souberam da má conduta dos funcionários.\n\nO ransomware ALPHV/BlackCat é notório desde o seu surgimento no final de 2021, estando associado a numerosos ataques, particularmente no setor da saúde. O grupo de ransomware assumiu a responsabilidade pelo ataque de 2022 à Change Healthcare, subsidiária da UnitedHealth Group, que resultou num pagamento de resgate de 22 milhões de dólares e expôs dados de cerca de 190 milhões de pessoas. As recentes acusações, divulgadas no Tribunal Distrital dos EUA para o Distrito Sul da Flórida, acusam Goldberg e Martin de conspirar para interferir no comércio por extorsão e de danificar intencionalmente computadores protegidos.\n\nGoldberg foi preso a 22 de setembro e permanece detido devido ao risco de fuga após alegadamente ter fugido para a Europa em junho de 2023 e posteriormente ter sido detido na Cidade do México. Ele terá confessado ao FBI que foi recrutado pelo co-conspirador não identificado para realizar ataques ransomware para pagar dívidas, recebendo cerca de 200.000 dólares do resgate pago pela empresa médica. Martin foi preso em outubro, libertado sob fiança, declarou-se inocente e está proibido de trabalhar em cibersegurança até ao julgamento. Ambos enfrentam penas potenciais de até 50 anos de prisão federal.\n\nO caso expõe uma violação perturbadora de confiança dentro da comunidade de cibersegurança, onde indivíduos encarregados de defender empresas contra ataques ransomware exploraram vulnerabilidades para ganho pessoal. Também levanta preocupações sobre ameaças internas em empresas de cibersegurança e a necessidade de mecanismos mais fortes de supervisão e monitorização. À medida que o ransomware continua a evoluir e a visar infraestruturas críticas e setores de saúde, incidentes como este destacam a complexidade de combater o cibercrime e a importância de uma rigorosa triagem de funcionários e monitorização comportamental contínua nas equipas de segurança.