Переговорщик с хакерами сам тайно работал на них и получил 6 лет тюрьмы

Он сливал данные клиентов хакерам BlackCat

2 мин.
Переговорщик с хакерами сам тайно работал на них и получил 6 лет тюрьмы

Федеральные прокуроры США раскрыли громкое дело о двойной игре переговорщика по выкупам при атаках программ-вымогателей. 41-летний Анджело Мартино, работавший в компании DigitalMint, которая помогает жертвам кибератак вести переговоры с хакерами, признал себя виновным в сговоре с участниками группировки BlackCat (также известной как ALPHV). Суд приговорил его к 70 месяцам тюремного заключения — почти шести годам лишения свободы.

Мартино занимал должность переговорщика в DigitalMint: в его обязанности входило взаимодействие с хакерами от лица пострадавших компаний. В рамках этой работы он получал доступ к детальной информации о каждом инциденте — сумме выкупа, лимитах страхового покрытия и внутренней переговорной стратегии клиента. Как установило следствие, именно эти сведения Мартино тайно передавал хакерам.

Согласно судебным документам, он поддерживал связь с хакерами из BlackCat через несколько каналов, связанных с инфраструктурой группировки. Помимо стандартных чатов для переговоров с жертвами, он использовал отдельную функцию «посредника» в панели управления BlackCat и зашифрованный мессенджер Tox. Эти каналы позволяли обмениваться информацией напрямую с атакующими, минуя контроль со стороны клиентов.

«Целью этих посреднических чат-коммуникаций было максимальное увеличение сумм выкупа, выплачиваемых жертвами участникам BlackCat, — говорится в обвинительном заключении. — Предоставленная подсудимым информация без ведома жертв включала лимиты их страховых полисов и внутренние переговорные позиции. В обмен на передачу конфиденциальных данных подсудимый получал часть выплат в цифровой валюте».

Прокуроры утверждают, что эти сведения напрямую влияли на размер требований хакеров в ходе переговоров. В период с апреля по сентябрь 2023 года пять пострадавших клиентов DigitalMint выплатили аффилированным лицам BlackCat более $75 млн. Часть этих сумм, по мнению следствия, была завышена именно благодаря информации, переданной Мартино. Среди жертв оказались организации из сферы финансовых услуг, здравоохранения, розничной торговли, гостиничного бизнеса и некоммерческого сектора. Атаки не только привели к финансовым потерям, но и нарушили операционную деятельность, а в некоторых случаях — оказание услуг.

В мае 2023 года Мартино получил собственный аффилированный доступ к платформе BlackCat — такой доступ обычно предоставляется только проверенным партнёрам, которые непосредственно развёртывают вредоносное ПО. Этим доступом он поделился с двумя сообщниками — Кевином Мартином и Райаном Голдбергом. Вместе они организовали дополнительные атаки, не связанные с клиентами DigitalMint. Одна из них была направлена на компанию-производителя медицинского оборудования, которая выплатила $1,2 млн. Другие жертвы не платили, но понесли операционные и финансовые потери.

По данным прокуроров, Мартино получил миллионы долларов в криптовалюте в рамках этой схемы. Часть активов была изъята ФБР, однако некоторые средства уже были потрачены — на покупку двух домов, лодки и нескольких автомобилей. Суд обязал Мартино конфисковать имущество и выплачивать 10% своего дохода после освобождения. Сам он просил о более мягком наказании — 24 месяцах заключения, ссылаясь на сотрудничество со следствием в деле против сообщников. Мартин и Голдберг ранее были приговорены к четырём годам тюрьмы каждый.

BlackCat (ALPHV) действует как платформа «вымогательство как услуга» (Ransomware-as-a-Service), предоставляя вредоносное ПО и инфраструктуру аффилиатам, которые проводят атаки и делят доходы. Группировка известна рядом громких инцидентов, включая сбой в работе платёжной системы Change Healthcare в 2024 году. В 2023 году ФБР заявило, что разработало инструмент для расшифровки данных, зашифрованных этим вымогателем, и захватило часть инфраструктуры группы, однако аффилиаты продолжили свою деятельность.

Компания DigitalMint заявила, что не знала о действиях Мартино, и назвала себя «невольной жертвой». После обращения Министерства юстиции США компания уволила причастных сотрудников и сотрудничала со следствием. По словам представителей DigitalMint, Мартино обходил внутренние меры защиты, используя несанкционированные каналы связи, невидимые для систем. Компания утверждает, что её средства контроля соответствовали отраслевым стандартам, но действия сотрудника были намеренно скрыты.

Этот случай высвечивает ключевую уязвимость в процессе реагирования на атаки программ-вымогателей: переговорщики часто работают в системах, контролируемых злоумышленниками, и при этом оперируют конфиденциальными данными. Прокуроры подчеркнули, что в данном случае этот доступ был использован в интересах атакующих, а не жертв.

Мы в Telegram, на Дзен, в Google News и YouTube