O Tribunal impôs penas de quatro anos de prisão a dois ex-empregados de empresas de resposta a incidentes por sua participação como afiliados do grupo de ransomware BlackCat (também conhecido como ALPHV) em uma série de ataques contra empresas americanas entre maio e novembro de 2023. Ryan Clifford Goldberg, ex-gerente de resposta a incidentes em Sygnia, e Kevin Tyler Martin, ex-negociador de resgates em DigitalMint, declararam-se culpados de conspiração para obstruir o comércio por extorsão; um terceiro co-autor, Angelo Martino, havia sido declarado culpado anteriormente e fez parte do mesmo esquema.
Segundo os documentos judiciais, os atacantes funcionaram como afiliados ao pagar uma comissão para acessar a plataforma BlackCat e executar as invasões, e dirigiram demandas de resgate que variaram entre centenas de milhares até vários milhões de dólares. Um caso destacado envolve uma empresa de dispositivos médicos de Tampa que, após a cifra de seus servidores e uma exigência de 10 milhões de dólares, pagou 1,27 milhões que depois foi branqueado e repartido entre os conspiradores. A magnitude dos pagamentos e a variedade de vítimas — desde farmacêuticas até fabricantes de drones e consultorias de engenharia — ilustram o alcance econômico e operacional deste esquema. Para consultar a acusação completa, o processo público disponível na nuvem de documentos pode ser revisto: DocumentCloud: Indictment.
Este caso tem várias leituras críticas para o setor: primeiro, revela a ameaça do insider threat Quando profissionais com acesso e conhecimento especializado decidem agir contra seus próprios clientes; segundo, destaca o risco de modelos de negócio de “afiliados” no ecossistema ransomware, onde a pericia e a execução operacional em redes de terceiros podem incluir atores com antecedentes ou intenções maliciosas; e terceiro, supõe um golpe à confiança em provedores de cibersegurança e negociação de resgates, um serviço que por definição maneja acessos privilegiados e decisões que afetam a continuidade operacional de organizações críticas.
Para além da condenação penal, a lição para os responsáveis pela segurança é clara: não basta contratar experiência técnica; é imprescindível gerir o risco humano associado. As empresas precisam de reforçar a supervisão de pessoal com acessos sensíveis, implementar controlos de separação de funções e auditar regularmente tanto os funcionários como os empreiteiros externos. O fato de profissionais de resposta a incidentes terem podido instrumentalizar seu conhecimento para prejudicar clientes exige revisar processos de seleção, cláusulas contratuais e mecanismos de revogação imediata de acessos.
No plano técnico e operacional, As organizações devem assumir que a prevenção absoluta não existe e fortalecer tanto as defesas como a resiliência. Isto inclui a aplicação de políticas de mínimo privilégio e gestão de identidades, a implantação de autenticação multifator para acessos administrativos, a manutenção de registos de auditoria imutáveis e a monitorização de dados em trânsito e repouso. Além disso, as cópias de segurança devem ser frequentes, verificadas e fisicamente isoladas ou air-gapped para que uma cifra maciça não deixe sem capacidade de recuperação.
As empresas devem também carregar os seus planos de resposta a incidentes, definindo protocolos claros para a gestão de incidentes em que poderia estar envolvido pessoal próprio ou de fornecedores: procedimentos para investigar, conter, notificar a pessoa em causa e colaborar com autoridades. Nesse sentido, a cooperação com o Ministério Público e as forças de segurança é essencial; a Procuradoria Federal seguiu este caso e emitiu um comunicado sobre as sentenças que confirma o esforço para perseguir afiliados e operadores do ransomware: Departamento de Justiça: comunicado sobre as sentenças.
Para as equipes de cibersegurança que operam como fornecedores: ética profissional e rastreabilidade operacional devem ser não transaccionáveis. As assinaturas devem estabelecer controlos internos para evitar que funcionários com acesso a capacidades ofensivas possam reutilizá-las ilegalmente, implementar revisões de antecedentes contínuas e garantir que os acordos de serviço incluam cláusulas de responsabilidade que facilitem ações legais e colaboração com autoridades em caso de má conduta.
Este caso também alimenta debates regulatórios: pode esperar-se maior escrutínio sobre a indústria de resposta a incidentes e negociações de resgates, e possivelmente novas regras sobre certificações, transparência de contratos e obrigações de reporte quando um fornecedor seja suspeito de conduta criminosa. São mudanças necessárias para restaurar a confiança e limitar o espaço de operação das máfias digitais que monetizam o sequestro de dados.
Em suma, a condenação a esses ex-empregados constitui um aviso para o sector: a sofisticação técnica sem controles éticos e organizacionais converte especialistas em riscos sistêmicos. Para as empresas e responsáveis pela segurança, a recomendação prática é combinar medidas técnicas — mínimas, MFA, monitorização e cópias de segurança isoladas — com controlos humanos e contratuais estritos, e manter canais de relatório e colaboração com as autoridades para reduzir a probabilidade e o impacto de traições internas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...