Netcrook Logo
👤 TRUSTBREAKER
🗓️ 21 Apr 2026   🗂️ Cyber Warfare     🌍 North America

Quando il negoziatore cambia fronte: un tradimento interno alimenta l’impennata del ransomware BlackCat

Un negoziatore di ransomware di fiducia ha segretamente aiutato i cybercriminali, esponendo le vittime e incassando milioni.

Doveva essere una negoziazione di routine - una delle tante chiamate tese, ad alto rischio, diventate un cupo rituale per le aziende colpite da bande ransomware. Ma nel 2023, diverse società statunitensi alle prese con attacchi BlackCat non avevano idea che l’uomo ingaggiato per salvarle stesse lavorando per l’altra parte. In un colpo di scena sconvolgente, il loro stesso negoziatore stava passando segreti al nemico, potenziando il bottino dei criminali e scuotendo il mondo della cybersecurity fin nelle fondamenta.

Il doppio agente nella guerra al ransomware

Angelo Martino avrebbe dovuto essere un’ancora di salvezza per le vittime di ransomware. Impiegato come negoziatore da DigitalMint, gli venivano affidate informazioni riservate per aiutare le aziende a orientarsi nel pericoloso dopo-attacco di un’incursione informatica. Ma a partire da aprile 2023, Martino ha stretto un patto con BlackCat - una famigerata banda ransomware nota per la sua spietatezza e sofisticazione tecnica.

Invece di proteggere i suoi clienti, Martino è diventato la loro minaccia più grande. Ha trasmesso direttamente a BlackCat dettagli interni, come i massimali delle polizze di cyber-assicurazione e le tattiche di negoziazione interne. Queste informazioni hanno permesso ai criminali di chiedere - e ottenere - riscatti molto più elevati, lasciando alle vittime poca scelta se non pagare.

Martino non ha agito da solo. Ha unito le forze con Kevin Martin, un collega di DigitalMint, e Ryan Goldberg, responsabile dell’incident response presso Sygnia, un’altra società di cybersecurity. Insieme, hanno orchestrato molteplici attacchi ransomware, arrivando persino a distribuire loro stessi il malware BlackCat. In un caso, il loro tradimento ha fruttato 1,2 milioni di dollari in Bitcoin, riciclati attraverso una rete di transazioni digitali e acquisti di lusso - tra cui una barca da pesca e un food truck.

Lo schema è crollato quando le autorità statunitensi hanno tracciato i proventi illeciti e sequestrato a Martino beni per 10 milioni di dollari. Il Dipartimento di Giustizia ha delineato un quadro impietoso: professionisti di fiducia, pagati per difendere, che hanno scelto l’avidità al posto del dovere. “Invece, li ha traditi e ha iniziato a lanciare lui stesso attacchi ransomware assistendo i criminali informatici e danneggiando le vittime, il suo stesso datore di lavoro e l’industria della risposta agli incidenti cyber,” ha dichiarato l’Assistant Attorney General A. Tysen Duva.

Martino si è dichiarato colpevole di cospirazione per ostacolare il commercio mediante estorsione. Rischia fino a 20 anni di carcere, con la sentenza fissata per luglio 2026. Anche i suoi co-cospiratori, Goldberg e Martin, si sono dichiarati colpevoli e sono in attesa di sentenza.

Fiducia scossa nei difensori della cybersecurity

Questo caso ha inviato onde d’urto nell’industria della cybersecurity, sollevando domande urgenti su supervisione e fiducia. Quando le stesse persone assunte per proteggere le vittime vengono corrotte dal richiamo del denaro dei riscatti, ogni azienda che affronta un attacco informatico deve chiedersi: chi è davvero dalla loro parte?

WIKICROOK

  • Ransomware: Il ransomware è un software malevolo che cifra o blocca i dati, chiedendo un pagamento alle vittime per ripristinare l’accesso ai loro file o sistemi.
  • Incident Response: L’incident response è il processo strutturato che le organizzazioni usano per rilevare, contenere e riprendersi da attacchi informatici o violazioni della sicurezza, riducendo al minimo danni e tempi di inattività.
  • Negotiator: Un negoziatore è la persona in una banda ransomware che contatta le vittime, gestisce le discussioni sul riscatto e organizza i dettagli di pagamento durante un attacco informatico.
  • Bitcoin: Bitcoin è una valuta digitale che consente pagamenti online diretti. La sua anonimizzazione lo rende una scelta comune per i pagamenti di riscatti negli attacchi informatici.
  • Money Laundering: Il riciclaggio di denaro nasconde l’origine illegale dei fondi facendoli apparire legittimi, spesso usando attività commerciali o casinò per mascherarne la provenienza.
Ransomware Insider Betrayal Cybersecurity
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news