L'affaire qui a stimulé l'industrie de l'intervention en cas d'incident et les négociations de sauvetage révèle une dimension inconfortable : les personnes ayant un accès privilégié à des informations sensibles qui, au lieu de protéger les victimes, les utilisent pour maximiser le butin des agresseurs. Selon des documents judiciaires, Angelo Martino - ancien employé de la société de réponse à l'incident de la Monnaie numérique - a plaidé coupable pour son rôle dans une série d'attaques Ransomware liées à l'opération BlackCat (également connue sous le nom d'ALPHV) entre 2023 et 2025. Le dossier est disponible dans les documents publiés par le tribunal DocumentCloud.
L'accusation ne reste pas dans une histoire isolée: Martino a agi de concert avec deux autres négociateurs qui travaillent à la signature des interventions en cas d'incident - Kevin Tyler Martin et Ryan Clifford Goldberg - et les trois négociateurs sont accusés de complot visant à extorquer des systèmes informatiques protégés et de dommages intentionnels. Selon l'accusation, tout en exécutant des tâches de négociation avec les victimes, elles ont divulgué des informations clés sur les positions de négociation et les limites des polices d'assurance, ce qui a permis aux exploitants de BlackCat d'exiger des montants proches. Les documents indiquent en outre que, en tant que sociétés affiliées à BlackCat, ces personnes ont payé des administrateurs de groupe une commission de 20 % pour l'accès aux logiciels malveillants et au portail d'extorsion.
L'impact économique décrit dans l'acte d'accusation est fort: les victimes comprennent des bureaux juridiques et des écoles, des centres médicaux et des sociétés de services financiers. Dans certains cas, des paiements de sauvetage à chiffres extraordinaires ont été enregistrés, des exemples atteignant plus de 25 millions de dollars par victime. Ces magnitudes mettent en évidence le haut professionnalisme et la rentabilité - pour les criminels - des opérations de Ransomware ces dernières années.
La divulgation de la collaboration des négociateurs professionnels avec un groupe criminel soulève des questions sur la confiance que les organisations accordent à ceux qui les aident à gérer les cyber crises. Le rôle traditionnel du négociateur est de réduire les dommages : évaluer la situation, donner des conseils sur les options et, le cas échéant, négocier la diffusion de données ou de clés. Lorsque ce rôle est corrompu, la victime est exposée deux fois : d'abord par intrusion initiale, puis parce que l'information qui doit être protégée aide à gonfler l'extorsion.
D'un point de vue organisationnel, la réponse de DigitalMint a été rapide et nette : l'entreprise a signalé qu'elle avait licencié les employés impliqués après avoir découvert la conduite signalée et condamné les faits. La réaction de l'entreprise, recueillie dans des reportages, souligne la nécessité de contrôles internes plus rigoureux dans les entreprises qui traitent des informations critiques lors d'incidents de sécurité. Pour lire la couverture de la réaction de l'entreprise et d'autres détails, voir le Calculateur.
Au-delà de ce cas particulier, Black Cat / ALPHV a été identifié par les agences de sécurité comme l'un des groupes Ransomware les plus actifs et monétisants. Le FBI et d'autres entités de sécurité ont documenté des dizaines de lacunes liées au groupe et estimé que les exploitants et les affiliés ont recueilli des centaines de millions de dollars en paiements de sauvetage au cours des dernières périodes. Pour comprendre le contexte plus large dans lequel ces bandes opèrent et les recommandations sur la façon de préparer et de répondre, les pages d'organismes comme la CISA et le FBI offrent des guides et des alertes qui peuvent être consultés à l'adresse suivante : CISA - Ransomware et dans la section de la cyberrecherche FBI.
Cet épisode laisse des leçons claires pour les entreprises, les assureurs et les fournisseurs de services d'intervention : les contrôles d'accès, la séparation des fonctions, la surveillance interne des activités et la vérification de l'intégrité des personnes impliquées dans la gestion des incidents ne sont pas facultatifs. Les signatures de réponse doivent vérifier leurs processus et démontrer qu'elles agissent avec transparence, car la valeur la plus importante dans une attaque n'est pas seulement la capacité technique de récupérer les systèmes, mais la confiance qu'ils maintiennent avec la victime.
Il y a aussi une dimension réglementaire et commerciale. Étant donné que le nombre de renflouements est supérieur à la moyenne, l'examen des achats de cyberassurance et de la façon dont les incidents sont signalés et gérés augmente. Les régulateurs, les assureurs et les clients finaux auront de plus en plus besoin de garanties sur l'éthique et la traçabilité des négociations et des décisions prises au nom d'une organisation touchée. Si l'industrie n'intègre pas de garanties efficaces, la confiance, pilier de l'activité de cybersécurité, peut être érodée.
Enfin, pour ceux qui travaillent dans le domaine de la sécurité ou des organisations dirigeantes, le cas est un avertissement : il ne suffit pas d'engager des spécialistes; il faut vérifier leur conduite, limiter les privilèges et mettre en place des mécanismes permettant de détecter et de prévenir les abus. L'écosystème du Ransomware évolue rapidement, tant dans les techniques que dans les modèles économiques, et des événements comme celui impliquant Martino, Martin et Goldberg se souviennent que les menaces peuvent également venir de l'intérieur.
Pour de plus amples renseignements sur les éléments de preuve présentés par l'accusation et sur les accusations formelles, veuillez consulter le dossier à l'adresse suivante : DocumentCloud. Pour le contexte sur BlackCat / ALPHV et les ressources d'atténuation, CISA maintient des matériaux utiles dans votre page sur le ransomware et le FBI publie des enquêtes et des alertes votre portail de cyberrecherche.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
Clé jaune L'échec BitLocker qui pourrait permettre à un attaquant de déverrouiller votre unité avec seulement un accès physique
Microsoft a publié une atténuation pour une vulnérabilité d'omission de sécurité BitLocker Clé jaune (CVE-2026-45585) après que son test de concept ait été divulgué publiquement...