O Ministério Público dos EUA acusou um novo antigo funcionário da DigitalMint por sua suposta participação num esquema em que negociadores de resgates colaboravam secretamente com a operação de ransomware conhecida como BlackCat, também chamada ALPHV. Segundo os documentos judiciais publicados, o acusado, identificado como Angelo Martino, se entregou aos U.S. Marshals e foi acusado de conspiração para interferir com o comércio interestatal mediante extorsão.
Os registros fiscais descrevem um padrão inquietante: enquanto trabalhava como mediador em incidentes de ransomware para DigitalMint, Martino teria compartilhado informações confidenciais sobre negociações ativas com os operadores BlackCat. Além disso, as pesquisas apontam que entre abril de 2023 e abril de 2025 participou diretamente em ataques junto a outros cúmplices vinculados ao mesmo grupo, pessoas que já haviam aparecido em uma acusação anterior onde Martino se mencionava como "Co-Conspirator 1".
A acusação alega que os envolvidos agiram como afiliados do BlackCat, extorsionando vítimas através da criptografia e da ameaça de publicar os dados roubados. Parte do esquema consistia em pagar aos administradores de BlackCat uma fração dos resgates arrecadados — segundo os fiscais, cerca de 20% — em troca do acesso à infraestrutura do grupo e ao seu portal de extorsão.
Entre as vítimas identificadas figuram pelo menos cinco organizações norte-americanas, com setores tão diversos como fabricantes de dispositivos médicos, bufetes de advogados, distritos escolares e instituições financeiras. Um dos casos documentados envolve um fabricante de dispositivos médicos com sede em Tampa que, segundo a acusação, chegou a pagar 1,27 milhões de dólares para recuperar o acesso aos seus sistemas.
DigitalMint, a empresa para a qual trabalhava Martino, declarou publicamente sua condenação dos factos, indicando que os envolvidos foram demitidos quanto ao conhecimento das condutas e que a empresa colaborou com as autoridades desde o início da investigação. Na sua resposta, a equipa de gestão sublinhou que, embora nenhum sistema seja infalível face ao risco interno, foram reforçados controlos e salvaguardas para reduzir a probabilidade de episódios semelhantes.
Este caso destaca um problema estrutural na resposta a incidentes: a confiança que depositam as organizações em intermediários e especialistas para negociar com criminosos digitais pode tornar-se uma porta traseira se esses mediadores se corrompem ou têm dupla ligação. Não se trata apenas de erros técnicos ou falhas de segurança perimetrales, mas da ameaça que supõe uma ameaça interna com acesso privilegiado a conversas sensíveis e à informação estratégica da vítima.
BlackCat/ALPHV não é um ator menor: agências e relatórios independentes têm ligado a este grupo com dezenas de lacunas e quantiosas extorsões nos últimos anos. Para contextualizar, organizações de segurança pública e jornalistas documentaram a crescente sofisticação dessas redes e o enorme volume econômico envolvido no negócio do resgate; um exemplo da análise sobre práticas opacas na indústria de recuperação de dados pode ser lido na pesquisa de ProPublica de 2019, que explorou como algumas empresas pagavam grupos criminosos sem transparentar com seus clientes.
O episódio abre várias questões práticas e éticas para as empresas que contratam serviços de resposta a incidentes: como auditar a integridade dos negociadores? Que controles devem existir sobre o manejo de informações sensíveis durante uma negociação? Até que ponto confiar em intermediários que gerem pagamentos e retransmitem comunicações? As respostas passam por políticas mais rigorosas de separação de funções, supervisão forense contínua, controlos de acesso reforçados e cláusulas contratuais que obriguem à transparência com os clientes e com as autoridades quando houver indícios de conduta irregular.
No plano preventivo e de resposta, as agências de segurança recomendam não apenas medidas técnicas, mas também procedimentos claros para a gestão de crises e a relação com fornecedores externos. Recursos institucionais como os oferecidos pelo CISA e pelo FBI São pontos de referência úteis para organizações que queiram atualizar seus planos contra ransomware e conhecer melhores práticas reconhecidas pelo setor público.
O caso contra Martino e os seus alegados colaboradores também sublinha a importância de as empresas informarem incidentes e cooperarem com as autoridades. Para além da responsabilidade penal que os indivíduos envolvidos possam enfrentar, as pesquisas ajudam a entender as economias criminosas que alimentam a indústria do ransomware e a desenvolver defesas coletivas. As instituições e os profissionais da cibersegurança devem interpretar este tipo de casos como uma chamada de atenção: a luta contra o ransomware não é ganha apenas com adesivos e cópias de segurança, mas também com governança, transparência e controles humanos bem concebidos.
Para quem quiser aprofundar os documentos do processo e da investigação jornalística prévia, consultar a imputação citada nos documentos judiciais e a investigação de fundo publicada por ProPublica. Estas fontes ajudam a compreender como a economia do resgate se entrelaçava com atores que, em alguns casos, deveriam ser parte da defesa das vítimas e não facilitadores da extorsão.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...