Negociadores de resgate acusados de fazer ataques de ransomware

Promotores nos Estados Unidos indiciaram no mês passado dois funcionários de uma empresa especializada em negociação de pagamentos de resgate, juntamente com um gerente de uma empresa de resposta a incidentes, por múltiplas acusações de hacking e extorsão. Os indivíduos, Kevin Tyler Martin, da DigitalMint, e Ryan Clifford Goldberg, da Sygnia, junto com um funcionário também da DigitalMint não identificado, enfrentam três acusações por uma série de ataques contra pelo menos cinco companhias baseadas nos Estados Unidos. As vítimas identificadas incluem uma fabricante de dispositivos médicos na Flórida, uma fabricante de drones na Virgínia e uma companhia farmacêutica sediada em Maryland, que foram alvo das atividades ilícitas.

O esquema de extorsão e o modelo RaaS

Os três são acusados de invadir sistemas corporativos, realizar o roubo de dados e implantar ransomware desenvolvido pelo grupo ALPHV/BlackCat, que utiliza um conhecido modelo de ransomware-as-a-service. Este modelo RaaS permite que o grupo ALPHV/BlackCat desenvolva o malware usado para criptografar os arquivos e roubar os dados das vítimas, enquanto afiliados, como os três indivíduos indiciados, executam os hacks e a implantação.

O grupo então recebe uma parte dos lucros obtidos de quaisquer pagamentos de resgate, que, segundo um depoimento do FBI protocolado em setembro, ultrapassaram $1.2 milhão recebidos de apenas uma das vítimas. O Department of Justice lidera a acusação formal contra os indivíduos, detalhando a metodologia utilizada para a extorsão digital e o subsequente recebimento dos valores. O caso foi reportado inicialmente pelo Chicago Sun-Times no domingo, expondo a infiltração dos agentes dentro da indústria de resposta a incidentes.

Resposta corporativa e investigação

O presidente da DigitalMint, Marc Grens, confirmou à imprensa que Martin era um funcionário no momento dos supostos hacks, mas afirmou que Martin estava “agindo completamente fora do escopo de seu emprego”. Guy Segal, executivo-chefe da Sygnia, confirmou que Goldberg era um funcionário da Sygnia e foi demitido após a empresa tomar conhecimento de seu suposto envolvimento nos ataques de ransomware, conforme reportado pelo CyberScoop. Grens também confirmou que o indivíduo não nomeado pode ser um ex-funcionário, e a DigitalMint está cooperando com a investigação do governo para esclarecer todos os fatos.