Der Fall, der die Notfall-Reaktionsindustrie und das Rettungs-Verhandlungsgeschäft angestoßen hat, zeigt eine unbequeme Dimension: Menschen mit privilegiertem Zugang zu sensiblen Informationen, die, anstatt die Opfer zu schützen, verwenden, um die Beute der Angreifer zu maximieren. Laut Justizdokumenten plädierte Angelo Martino - ein ehemaliger Mitarbeiter der Digital Mint-Antwortfirma - für seine Rolle in einer Reihe von Ransomware-Angriffen im Zusammenhang mit der BlackCat Operation (auch bekannt als ALPHV) zwischen 2023 und 2025 schuldig. Die Akte ist in den vom Gericht veröffentlichten Dokumenten verfügbar Dokumentwolke.
Die Anklage bleibt nicht in einer isolierten Geschichte: Martino fungierte zusammen mit zwei weiteren Verhandlungsführern, die für zufällige Antwortsignaturen arbeiteten - identifiziert als Kevin Tyler Martin und Ryan Clifford Goldberg - und allen drei Facetten der Verschwörung, um geschützte Computersysteme zu erpressen und vorsätzlich zu beschädigen. Nach der Strafverfolgung, bei der Durchführung von Opfer-Verhandlungsaufgaben, haben sie wichtige Informationen über Verhandlungspositionen und die Grenzen der Versicherungspolitik, die BlackCat-Betreiber erlaubt, enge Beträge zu verlangen. Die Dokumente weisen weiter darauf hin, dass diese Personen als BlackCat-Partner Gruppenadministratoren eine 20% Provision für den Zugriff auf Malware und das Erpressungsportal bezahlten.
Die in der Anklage beschriebenen wirtschaftlichen Auswirkungen sind stark: Zu den Opfern gehören Rechtsbüros und Schulen, medizinische Zentren und Finanzdienstleistungen. In einigen Fällen wurden außerordentliche Rettungszahlungen verzeichnet, wobei Beispiele mehr als 25 Millionen US-Dollar pro Opfer erreichten. Diese Magnities zeigen die hohe Professionalität und Rentabilität - für Kriminelle - der Ransomware-Operationen in den letzten Jahren.
Die Offenlegung, dass professionelle Verhandlungsführer mit einer kriminellen Gruppe zusammengearbeitet haben, stellt Fragen über das Vertrauen, dass Organisationen in diejenigen, die ihnen helfen, Cyberkrisen zu verwalten. Die traditionelle Rolle des Verhandlungsführers besteht darin, den Schaden zu reduzieren: die Situation zu beurteilen, Optionen zu beraten und gegebenenfalls die Freigabe von Daten oder Schlüsseln auszuhandeln. Wenn diese Rolle beschädigt ist, ist das Opfer zweimal exponiert: zuerst durch anfängliche Intrusion und dann, weil die Informationen, die geschützt werden sollten, hilft, Erpressung aufblasen.
Aus organisatorischer Sicht war die Antwort von DigitalMint schnell und scharf: Das Unternehmen berichtete, dass es die Mitarbeiter, die nach der Entdeckung des gemeldeten Verhaltens und der Verurteilung der Tatsachen beteiligt waren, entlassen hatte. Die Reaktion des in Nachrichtenberichten gesammelten Unternehmens weist auf die Notwendigkeit einer strengeren internen Kontrolle in Unternehmen hin, die bei Sicherheitsvorfällen kritische Informationen behandeln. Um die Berichterstattung über die Reaktion des Unternehmens und andere Details zu lesen, siehe die BlepingComputer.
Über diesen speziellen Fall hinaus, Schwarz Cat / ALPHV wurde von Sicherheitsbehörden als eine der aktivsten und monetizing-fähigen Ransomware Gruppen identifiziert. Das FBI und andere Sicherheitsbehörden haben Dutzende von gruppenbezogenen Lücken dokumentiert und geschätzt, dass Betreiber und Tochtergesellschaften Hunderte von Millionen von Dollar bei Rettungszahlungen während der letzten Zeiträume erhöht. Um den breiteren Kontext, in dem diese Bands operieren, und die Empfehlungen zur Vorbereitung und Reaktion zu verstehen, bieten die Seiten der Agenturen wie der CISA und das FBI Anleitungen und Warnungen, die bei CISA - Ransomware und im Bereich der Cyberforschung FBI.
In dieser Folge gibt es klare Lektionen für Unternehmen, Versicherer und Antwortdienstleister: Zugriffskontrollen, Trennung von Funktionen, interne Aktivitätsüberwachung und Integritätsprüfung der an der Vorfallverwaltung beteiligten Personen sind nicht optional. Antwortsignaturen müssen ihre Prozesse überprüfen und zeigen, dass sie mit Transparenz handeln, denn der wichtigste Wert bei einem Angriff ist nicht nur die technische Fähigkeit, Systeme zu erholen, sondern das Vertrauen, das sie mit dem Opfer pflegen.
Es gibt auch eine regulatorische und Marktdimension. Da die Rettungsaktionen über große Zahlen hinausgehen, wird die Kontrolle über Cyber-Versicherungskäufe und wie Vorfälle gemeldet und verwaltet werden wächst. Regulatoren, Versicherer und Endkunden werden zunehmend Garantien für die Ethik und Rückverfolgbarkeit von Verhandlungen und Beschlüssen im Auftrag einer betroffenen Organisation verlangen. Wenn die Industrie keine wirksamen Schutzmaßnahmen einschließt, kann Vertrauen, eine Säule des Cybersicherheitsgeschäfts erodiert werden.
Schließlich ist für diejenigen, die in Sicherheits- oder führenden Organisationen arbeiten, der Fall eine Warnung: Es ist nicht genug, Spezialisten zu mieten; es ist notwendig, ihr Verhalten zu überprüfen, Privilegien zu begrenzen und Mechanismen zu etablieren, die Missbrauch erkennen und verhindern. Das Ökosystem der Ransomware entwickelt sich schnell, sowohl in Techniken und wirtschaftlichen Modellen, und Ereignisse wie jene, die Martino, Martin und Goldberg erinnern, dass Bedrohungen auch aus dem Inneren kommen können.
Weitere Informationen zu den von der Strafverfolgung vorgelegten Beweisen und zu den förmlichen Abgaben finden Sie in der Akte unter: Dokumentwolke. Für den Kontext auf BlackCat / ALPHV und Minderung Ressourcen, CISA hält nützliche Materialien in Ihre Seite über Ransomware und das FBI veröffentlicht Ermittlungen und Warnungen in Ihr Cyberresearch-Portal.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
Gelbe Augen Der BitLocker Fehler, der es einem Angreifer ermöglichen könnte, Ihre Einheit mit nur physischem Zugriff zu entsperren
Microsoft hat eine Abschwächung für eine BitLocker Sicherheitslücke als bekannt als YellowKey (CVE-2026-45585) nachdem sein Konzepttest öffentlich ausgelaufen war und der koordi...