L'accusation américaine a accusé un nouvel ancien employé de DigitalMint pour sa participation présumée à un plan dans lequel les négociateurs de sauvetage ont secrètement collaboré avec l'opération Ransomware connue sous le nom de BlackCat, également appelé ALPHV. Selon Documents judiciaires publiés l'accusé, identifié comme Angelo Martino, s'est rendu aux Marshals américains et a été accusé de complot pour interférer avec le commerce interétatique par extorsion.
Les dossiers fiscaux décrivent une tendance inquiétante : tout en travaillant comme médiateur dans les incidents de Ransomware pour DigitalMint, Martino aurait communiqué des renseignements confidentiels sur les négociations actives avec les exploitants de BlackCat. De plus, les enquêtes indiquent qu'entre avril 2023 et avril 2025, il a été directement impliqué dans des attaques avec d'autres complices liés au même groupe, des personnes qui avaient déjà comparu dans un précédent acte d'accusation où Martino était mentionné comme « co-conspirateur 1 ».
L'accusation affirme que les personnes impliquées ont agi en tant que filiales de BlackCat, extorquant des victimes par cryptage et menaçant de publier les données volées. Une partie de ce régime consistait à verser aux administrateurs de BlackCat une fraction des sauvetages perçus - selon les procureurs environ 20% - en échange de l'accès à l'infrastructure du groupe et à son portail d'extorsion.
Les victimes identifiées comprennent au moins cinq organisations américaines, dont les secteurs sont aussi divers que les fabricants de matériels médicaux, les cabinets d'avocats, les districts scolaires et les institutions financières. Un des cas documentés concerne un fabricant d'instruments médicaux basé à Tampa qui, selon la poursuite, a payé 1,27 million de dollars pour récupérer l'accès à leurs systèmes.
DigitalMint, la société pour laquelle Martino travaillait, a déclaré publiquement sa condamnation des faits, indiquant que les intéressés ont été licenciés dès que le comportement a été connu et que la société a collaboré avec les autorités depuis le début de l'enquête. Dans sa réponse, l'équipe de gestion a souligné que, bien qu'aucun système ne soit infaillible contre les risques internes, les contrôles et les mesures de protection ont été renforcés pour réduire la probabilité d'événements semblables.
Ce cas met en évidence un problème structurel dans la réponse aux incidents: la confiance que les organisations placent dans les intermédiaires et les spécialistes pour négocier avec les criminels numériques peut devenir une porte arrière si ces médiateurs sont corrompus ou ont des liens doubles. Il s'agit non seulement d'erreurs techniques ou de défaillances de la sécurité périmérale, mais aussi de la menace que représente une menace interne avec accès privilégié à des conversations sensibles et les informations stratégiques de la victime.
BlackCat / ALPHV n'est pas un acteur mineur : des agences et des rapports indépendants ont associé ce groupe à des dizaines de lacunes et à des extorsions importantes ces dernières années. Dans le contexte, les organisations de sécurité publique et les journalistes ont documenté la sophistication croissante de ces réseaux et l'énorme volume économique impliqué dans les opérations de sauvetage. ProPublica de 2019, qui a étudié comment certaines entreprises payaient des groupes criminels sans transparence avec leurs clients.
L'épisode ouvre un certain nombre de questions pratiques et éthiques pour les entreprises qui engagent des services d'intervention en cas d'incident : comment vérifier l'intégrité des négociateurs? Quels contrôles devraient exister sur la gestion des informations sensibles au cours d'une négociation? Dans quelle mesure devraient-ils compter sur des intermédiaires qui gèrent les paiements et retransmettent les communications? Les réponses se traduisent par des politiques plus strictes de séparation des tâches, une surveillance judiciaire continue, des contrôles d'accès améliorés et des clauses contractuelles qui exigent la transparence avec les clients et les autorités lorsqu'il y a des preuves de conduite irrégulière.
Au niveau de la prévention et de l'intervention, les organismes de sécurité recommandent non seulement des mesures techniques, mais aussi des procédures claires pour la gestion des crises et les relations avec les fournisseurs extérieurs. Ressources institutionnelles telles que celles offertes par CISA et FBI sont des repères utiles pour les organisations qui veulent mettre à jour leurs plans contre les ransomwares et connaître les meilleures pratiques reconnues par le secteur public.
L'affaire contre Martino et ses collaborateurs présumés souligne également l'importance des sociétés qui signalent les incidents et coopèrent avec les autorités. Au-delà de la responsabilité pénale que les personnes concernées peuvent affronter, la recherche aide à comprendre les économies criminelles qui alimentent l'industrie Ransomware et à développer des défenses collectives. Les institutions de cybersécurité et les professionnels devraient interpréter ces types de cas comme un appel à l'attention: la lutte contre le Ransomware est gagnée non seulement avec des correctifs et des sauvegardes, mais aussi avec une gouvernance bien conçue, la transparence et les contrôles humains.
Pour ceux qui veulent approfondir les documents du processus et les recherches journalistiques précédentes, la déclaration citée dans le actes judiciaires et la recherche de base publiée par Pour Publica. Ces sources aident à comprendre comment l'économie de sauvetage est liée à des acteurs qui, dans certains cas, devraient participer à la défense des victimes et non à des facilitateurs d'extorsion.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...