Já foi mencionado anteriormente que a empresa norte-americana de resposta a incidentes DigitalMint tem um negociador de chantagem que coleta benefícios pagos por hackers para ajudar hackers a extorquir vítimas que procuram ajuda. Outros dois colegas deste negociador também foram julgados em tribunal por aceitarem subornos. Esses negociadores estiveram até envolvidos na implantação de ransomware.
Angelo Martino, de 41 anos, era negociador de ransomware. Sua principal função era entrar em contato com gangues de hackers para negociações de resgate em nome de clientes (vítimas). O objetivo dos negociadores deveria ter sido ajudar os clientes a baixar o preço do resgate tanto quanto possível para obter maiores benefícios para os clientes. No entanto, esses negociadores presos fizeram o oposto e ajudaram os hackers a pedir resgates mais elevados às vítimas.
O grupo de hackers que pagou o resgate é o notório Alphv/BlackCat. Este grupo de hackers usa principalmente vários métodos para roubar dados confidenciais corporativos e criptografá-los, e então exige que a empresa vítima pague um resgate elevado para obter a chave de descriptografia. Algumas empresas não possuem backup de dados e precisam buscar ajuda de especialistas em negociação para entrar em contato com os hackers e reduzir o pagamento do resgate.
Especialistas em negociação ajudam hackers a exigir resgates maiores:
Documentos divulgados pelo Departamento de Justiça dos EUA mostram que Martino e dois de seus colegas negociaram com hackers em nome de pelo menos cinco empresas vítimas, e todas as cinco empresas pagaram taxas de consultoria à DigitalMint (nota: as taxas de consultoria foram para a empresa negociadora e o resgate foi para os hackers).
Entre eles: uma empresa de hospitalidade foi forçada a pagar um resgate de US$ 16,484 milhões, uma organização sem fins lucrativos foi forçada a pagar um resgate de US$ 26,8 milhões, uma empresa de serviços financeiros foi forçada a pagar um resgate de US$ 25,6 milhões, uma empresa de varejo foi forçada a pagar um resgate de US$ 6,1 milhões e uma empresa de saúde foi forçada a pagar um resgate de US$ 213.000.
O processo normal deveria ser que os negociadores cobrassem uma taxa de consultoria e depois negociassem com os hackers em nome da empresa vítima para reduzir o resgate. No processo real, Martino e seus co-conspiradores vazaram informações confidenciais internas da empresa vítima para os hackers, e os hackers exigiram preços de resgate diferentes com base nessas informações confidenciais.
Estas informações confidenciais incluem principalmente o limite da apólice de seguro cibernético da empresa vítima e os detalhes do pagamento do resgate dentro da empresa. Depois que o hacker obtém essas informações, ele exige resgate de acordo com o limite da política. Para a empresa vítima, esses resgates são eventualmente pagos pela seguradora.
É claro que alguns limites da política podem não ser suficientes para cobrir o resgate real exigido pelos hackers. Nesse caso, os hackers contam com os negociadores para obter a disposição e o possível limite máximo do pagamento do resgate dentro da empresa e, em seguida, exigir o resgate no limite máximo que a empresa pode tolerar.
O que fazer se não houver clientes? Negociadores encontram alvos para implantar ransomware:
O que é ainda mais chocante é que Martino e seus associados procuraram clientes de forma proativa, ou seja, essas pessoas se tornaram distribuidores downstream do ransomware BlackCat, cobrando taxas de consultoria ao implantar ransomware para clientes-alvo e ao mesmo tempo recebendo uma parte do resgate.
O Departamento de Justiça dos EUA declarou em documentos públicos que este pequeno grupo lançou ataques a várias empresas para implantar ransomware entre abril e novembro de 2023. Na verdade, realizou com sucesso cinco ataques e exigiu mais de US$ 16 milhões em resgate.
É claro que nem todas as vítimas estão dispostas a pagar o resgate. O Departamento de Justiça dos EUA mencionou apenas que uma empresa de dispositivos médicos acabou pagando o resgate em troca da chave. Esse resgate fez com que a pequena gangue lucrasse ilegalmente US$ 1,274 milhão, mas o Departamento de Justiça dos EUA não anunciou se as outras quatro empresas pagaram o resgate.
A empresa para a qual trabalho não descobriu estes truques:
É importante notar que a DigitalMint não conseguiu detectar qualquer comportamento ilegal de Martino e seus associados, seja vazando informações de clientes para ajudar hackers a exigir resgates mais elevados ou participando diretamente na implantação de ransomware. A empresa não tomou conhecimento do incidente até ser notificada pelo Departamento de Justiça dos EUA, altura em que os negociadores do ransomware foram presos pelas agências de aplicação da lei. A DigitalMint demitiu imediatamente os indivíduos e disse não ter conhecimento do incidente. A julgar pela investigação atual, a DigitalMint de fato não tem conhecimento e não participou dessas ações ilegais. No entanto, como uma empresa de resposta a incidentes na área de segurança, essas grandes lacunas internas realmente fazem as pessoas duvidarem das reais capacidades da empresa.
Finalmente, Martino e os seus cúmplices enfrentarão julgamento em tribunal em 30 de abril de 2026. De acordo com as leis relevantes, Martino enfrentará pelo menos 10 anos de prisão, e estima-se que os 10 milhões de dólares em bens apreendidos terão de ser pagos como compensação.