Федеральная прокуратура США недавно раскрыла вопиющее дело «инсайдеров» в области кибербезопасности. Переговорщик по вопросам кибервымогательства, который должен был представлять интересы жертв в общении с хакерами, на самом деле использовал чрезвычайно конфиденциальные утекшие данные в качестве разменной монеты и тайно оказывал помощь хакерским организациям в сборе выкупа. Переговорщик, участвующий в деле, Анджело Мартино (41 год), был официально приговорен к 70 месяцам тюремного заключения за сговор с целью информирования филиала известной организации-вымогателя «BlackCat».

Фигурант дела Мартино изначально работал в компании DigitalMint. Одним из основных направлений деятельности компании является оказание помощи компаниям, столкнувшимся с кибервымогательством, в преодолении трудностей, включая переговоры о выкупе с злоумышленниками от имени компании-жертвы. Эта ключевая должность позволяла Мартино иметь прямой доступ к деталям крупных нарушений безопасности по мере их возникновения, а также владеть самой важной конфиденциальной информацией о жертвах, включая требования хакеров о выкупе, лимиты страхового покрытия компаний-жертв и стратегии внутренних переговоров.
Однако обвинительное заключение прокуратуры выявило его двойное лицо. Судебные документы показывают, что Мартино поддерживал частые секретные контакты с вдохновителем «Черной кошки» через эксклюзивный канал хакерской организации. В дополнение к обычным официальным каналам чата для переговоров он также использовал секретную «посредническую» функцию внутри панели управления «Черной кошки» и использовал программное обеспечение для зашифрованной связи Tox для прямого соединения с хакерами, полностью минуя при этом компанию-жертву. Единственная цель этих секретных сообщений — максимизировать сумму выкупа, который компания-жертва в конечном итоге заплатит «черной кошке». Без ведома клиента Мартино выдал страховые карты и внутреннюю прибыль другой стороны, а хакерская организация скорректировала сумму вымогательства на основе этих точных «информационных данных». Взамен Мартино получает прямую долю от выкупа за криптовалюту, полученного хакерами.
Расследование подтвердило, что в период с апреля по сентябрь 2023 года в общей сложности пять компаний-потерпевших пострадали от этого и были вынуждены выплатить огромный выкуп на общую сумму более 75 миллионов долларов США филиалам «Черной кошки». Жертвы были распределены по ключевым отраслям, включая финансовые услуги, здравоохранение, розничную торговлю, гостиничный бизнес и некоммерческие организации. По наводке Мартино некоторые из компаний-жертв заплатили гораздо больше, чем могли договориться, и атаки привели к значительным нарушениям в бизнесе.
Жадный Мартино не остановился на сливе информации. В мае 2023 года он даже напрямую получил права партнерского членства в платформе вымогателей «Black Cat». Это разрешение обычно предоставляется только доверенным партнерам и используется для прямого распространения вредоносного ПО. Затем Мартино поделился этим доступом с двумя другими сообщниками, Кевином Мартином и Райаном Голдбергом. Все трое сформировали альянс интересов и начали совместно использовать программное обеспечение и платформу «Черной кошки» для запуска новых атак и шантажа других жертв, а затем разделить деньги с командой менеджеров «Черной кошки». Используя этот набор инструментов, они атаковали компанию, производящую медицинское оборудование, и успешно вымогали 1,2 миллиона долларов.
Благодаря этой серии скоординированных преступлений Мартино получил криптовалюту на миллионы долларов. Хотя часть активов была конфискована ФБР, большая часть остальных была им растрачена и преобразована в два объекта недвижимости: яхту и несколько роскошных автомобилей. Помимо приговора к 70 месяцам тюремного заключения суд также постановил конфисковать связанное с ним имущество и потребовал от него передать 10% своего личного дохода после освобождения.
Мартино подал прошение о сокращении своего приговора до 24 месяцев на основании «сотрудничества с правоохранительными органами в преследовании сообщников», но не получил одобрения. Его сообщники Мартин и Голдберг были приговорены к четырем годам тюремного заключения каждый в начале этого года.
В ответ на это серьезное предательство и преступление на рабочем месте Бретт Лезерман, помощник директора киберотдела ФБР, заявил, что в целях обогащения Анджело Мартино напрямую предал нанявших его жертв и передал конфиденциальные карты переговоров хакерам «Черной кошки», полностью нарушив профессиональную и юридическую основу.
Black Cat (также известная как ALPHV) — это печально известная платформа «программы-вымогатели как услуга» (RaaS), которая предоставляет вредоносное ПО и инфраструктурную поддержку сотрудничающим хакерам и распределяет доходы от преступлений. Ранее организация спровоцировала ряд крупномасштабных кибератак, которые потрясли Соединенные Штаты, в том числе вызвали повсеместный паралич системы медицинских платежей Change Healthcare в США в 2024 году. Хотя ФБР еще в 2023 году объявило, что оно разработало инструмент расшифровки программного обеспечения и захватило часть его инфраструктуры, оставшиеся филиалы все еще активны в темноте сети.
Компания DigitalMint, причастная к инциденту, сделала срочное заявление после инцидента, подчеркнув, что компания ничего не знала о том, что сделал Мартино, и заявила, что она также стала «невинной жертвой» этого преступления. В компании заявили, что после получения уведомления от Минюста они немедленно уволили всех причастных к делу сотрудников и полностью сотрудничали со следствием. В DigitalMint отметили, что для совершения преступления Мартино намеренно обошел внутренние механизмы защиты компании и использовал несанкционированные каналы связи, которые система вообще не могла отслеживать, для проведения тайных операций.
Этот случай, потрясший отрасль, несомненно, стал сигналом тревоги для всей отрасли реагирования на сетевую безопасность. Из-за особенностей своей профессии переговорщикам часто приходится долго блуждать между системами, контролируемыми хакерами, и конфиденциальными данными. Выявленный в этом случае «инсайдерский» риск показывает, что самые большие лазейки в сетевой защите иногда появляются в наиболее доверенных соединениях.