Le Tribunal a imposé quatre ans d'emprisonnement à deux anciens employés de sociétés d'intervention en cas d'incident pour leur participation à titre de membre du groupe BlackCat Ransomware (également connu sous le nom d'ALPHV) dans une série d'attaques contre des sociétés américaines entre mai et novembre 2023. Ryan Clifford Goldberg, ancien gestionnaire d'intervention en cas d'incident à Sygnia, Kevin Tyler Martin Ancien négociateur de sauvetage chez DigitalMint, ils ont plaidé coupable de complot pour entraver le commerce par extorsion; un troisième coauteur, Angelo Martino, avait déjà plaidé coupable et faisait partie du même schéma.
Selon les documents judiciaires, les agresseurs fonctionnaient comme affiliés en payant une commission pour accéder à la plate-forme BlackCat et exécuter les intrusions, et dirigeaient des demandes de sauvetage allant de centaines de milliers à plusieurs millions de dollars. Un cas important concerne une société de matériel médical Tampa qui, après le cryptage de ses serveurs et une demande de 10 millions de dollars, a payé 1,27 million de dollars qui a ensuite été blanchi et distribué parmi les conspirateurs. L'échelle des paiements et la variété des victimes - des pharmaceutiques aux drones et aux fabricants de conseils techniques - illustrent la portée économique et opérationnelle de ce régime.. Pour l'acte d'accusation complet, le dossier public disponible dans le nuage de documents peut être examiné: Numéro Nuage: Indiction.
Ce cas a plusieurs lectures critiques pour le secteur: d'abord, il révèle la menace de menace d'initié Lorsque des professionnels ayant accès et des connaissances spécialisées décident d'agir contre leurs propres clients; deuxièmement, il souligne le risque de modèles d'affaires d'« affiliations » dans l'écosystème de Ransomware, où l'expertise et l'exécution opérationnelle sont externalisées dans des réseaux tiers qui peuvent inclure des acteurs ayant des antécédents ou des intentions malveillantes; et troisièmement, il porte atteinte à la confiance dans les fournisseurs de services de cybersécurité et de sauvetage, un service qui gère par définition l'accès privilégié et les décisions qui affectent la continuité opérationnelle des organisations critiques.
Au-delà des condamnations pénales, la leçon pour les agents de sécurité est claire : il ne suffit pas d'embaucher une expérience technique; il est essentiel de gérer le risque humain associé. Les entreprises doivent renforcer la supervision du personnel avec un accès délicat, mettre en place des contrôles de cessation d'emploi et vérifier régulièrement les employés et les entrepreneurs externes. Le fait que les professionnels de l'intervention en cas d'incident aient pu instrumentaliser leurs connaissances pour nuire aux clients nécessite un examen des processus de sélection, des clauses contractuelles et des mécanismes de révocation immédiate de l'accès.
Au niveau technique et opérationnel, les organisations doivent supposer que la prévention absolue n'existe pas et renforcer à la fois la défense et la résilience. Cela comprend l'application de politiques minimales de gestion des privilèges et de l'identité, le déploiement de l'authentification multifactorielle pour l'accès administratif, la tenue de dossiers de vérification sans changement et la surveillance de l'infiltration de données en transit et au repos. De plus, les sauvegardes devraient être fréquentes, vérifiées et physiquement isolées ou gagnées par l'air afin qu'un cryptage de masse ne parte pas sans capacité de récupération.
Les entreprises devraient également peaufiner leurs plans d'intervention en matière d'incidents en définissant des protocoles clairs pour la gestion des incidents dans lesquels le personnel propre ou le fournisseur peut être impliqué : procédures pour enquêter, contenir, aviser les personnes touchées et travailler avec les autorités. À cet égard, la coopération avec les forces de l'ordre et les forces de l'ordre est essentielle; le Bureau du Procureur fédéral a suivi cette affaire et publié une déclaration sur les peines qui confirment les efforts déployés pour poursuivre les membres et les opérateurs de Ransomware: Ministère de la justice : déclaration sur les jugements.
Pour les équipements de cybersécurité fonctionnant comme fournisseurs: l'éthique professionnelle et la traçabilité opérationnelle doivent être non négociables. Les signatures devraient établir des contrôles internes afin d'empêcher les employés ayant accès à des capacités offensives de les réutiliser illégalement, de mettre en oeuvre des examens continus des antécédents et de veiller à ce que les accords de service comportent des clauses de responsabilité qui facilitent l'action en justice et la coopération avec les autorités en cas de faute.
Cette affaire alimente également les discussions sur la réglementation : on peut s'attendre à un examen plus approfondi de l'industrie des opérations d'intervention et de sauvetage, et peut-être à de nouvelles règles sur les certifications, la transparence des contrats et les obligations de déclaration lorsqu'un fournisseur est soupçonné d'avoir commis une infraction. Ils sont nécessaires pour restaurer la confiance et limiter l'espace d'exploitation des mafias numériques qui monétisent la séquestration des données.
Bref, la conviction de ces anciens employés est un avertissement pour le secteur : sophistication technique sans contrôle éthique et organisationnel convertit les experts en risques systémiques. Pour les entreprises et les responsables de la sécurité, la recommandation pratique est de combiner des mesures techniques - privilèges minimums, MFA, surveillance et sauvegarde isolées - avec des contrôles humains et contractuels stricts, et de maintenir les canaux de notification et la collaboration avec les autorités pour réduire la probabilité et l'impact de la trahison interne.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...