Du Négociateur au Complice : La Chute Choquante d’un Initié du Ransomware

Lorsqu’une cyberattaque survient, les entreprises font appel à des professionnels de la réponse aux incidents. Mais que se passe-t-il lorsque le négociateur travaille secrètement pour les criminels ? Cette question troublante est devenue réalité lorsque Angelo Martino, négociateur chevronné en ransomware, a admis avoir trahi ses clients et conspiré avec le tristement célèbre groupe de ransomware BlackCat/ALPHV. L’affaire a ébranlé le monde de la cybersécurité, révélant une face sombre où la confiance peut être utilisée comme une arme - et vendue au plus offrant.

Les révélations du Département de la Justice dressent un tableau inquiétant : Martino, 41 ans, a utilisé son accès privilégié au sein d’une société américaine de réponse aux incidents pour fournir aux attaquants BlackCat des informations confidentielles sur les entreprises victimes. Cela incluait des détails tels que les plafonds des polices d’assurance et les stratégies de négociation - des informations censées aider les victimes, et non maximiser les profits criminels. Au contraire, la trahison de Martino a permis à BlackCat d’exiger des rançons plus élevées, retournant contre eux les propres défenses de ses clients.

Martino n’agissait pas seul. Il a conspiré avec deux autres initiés de la cybersécurité, Ryan Goldberg et Kevin Martin, pour déployer le ransomware BlackCat contre plusieurs organisations américaines entre avril et novembre 2023. Après avoir extorqué 1,2 million de dollars en Bitcoin à une victime, le trio a blanchi sa part via divers canaux. Les saisies d’actifs par les forces de l’ordre - d’un food truck à un bateau de luxe en passant par des millions en monnaie numérique - soulignent l’ampleur de l’opération.

DigitalMint et Sygnia, les employeurs des coupables, ont souligné leur pleine coopération avec les autorités et le licenciement immédiat des initiés dévoyés. Leurs déclarations font écho à une préoccupation plus large du secteur : même les professionnels de confiance peuvent représenter une menace lorsque la surveillance et les contrôles internes font défaut.

Les experts avertissent que cette affaire est un signal d’alarme. Daniel Tobok, PDG de Cypfer et négociateur expérimenté en ransomware, plaide pour une séparation stricte entre les fonctions de négociation et de paiement. « Lorsqu’il y a une séparation claire, les personnes impliquées n’ont rien à y gagner personnellement », explique Tobok, insistant sur la nécessité de pare-feux pour éviter les conflits d’intérêts. Morey Haber, conseiller principal en sécurité chez BeyondTrust, ajoute que la confiance doit être continuellement vérifiée - même pour ceux qui sont engagés pour protéger.

Cette rupture de confiance met en lumière un risque croissant : la menace interne. À mesure que les attaques par ransomware gagnent en sophistication, les défenseurs eux-mêmes peuvent devenir le maillon faible, surtout lorsqu’ils sont motivés par la cupidité ou la coercition. Pour les organisations confrontées au ransomware, la leçon est claire : faire confiance, mais vérifier, et mettre en place des protections internes robustes pour se prémunir contre la trahison venant de l’intérieur.

Alors que Martino et ses complices attendent leur condamnation, leur histoire sert de rappel glaçant : dans le monde obscur de la cybercriminalité, la frontière entre protecteur et prédateur peut être extrêmement mince. Pour les victimes comme pour les intervenants, la vigilance et des contrôles internes solides sont plus essentiels que jamais.

WIKICROOK

• Ransomware : Le ransomware est un logiciel malveillant qui chiffre ou bloque des données, exigeant un paiement des victimes pour restaurer l’accès à leurs fichiers ou systèmes.
• Réponse aux incidents : La réponse aux incidents est le processus structuré utilisé par les organisations pour détecter, contenir et se remettre d’attaques ou de violations de sécurité, minimisant ainsi les dommages et les interruptions.
• Menace interne : Une menace interne survient lorsqu’une personne au sein d’une organisation abuse de son accès aux systèmes ou aux données, causant intentionnellement ou accidentellement des dommages.
• Bitcoin : Le Bitcoin est une monnaie numérique permettant des paiements directs en ligne. Son anonymat en fait un choix courant pour les paiements de rançon lors de cyberattaques.
• Blanchiment : Le blanchiment consiste à dissimuler l’origine illicite de fonds pour les faire paraître légitimes, souvent via des transactions complexes ou des plateformes numériques.