O caso que tem salpicado a indústria da resposta a incidentes e o negócio da negociação de resgates revela uma dimensão desconfortável: pessoas com acesso privilegiado a informações sensíveis que, em vez de proteger as vítimas, a usam para maximizar o botim dos atacantes. De acordo com documentos judiciais, Angelo Martino — um ex-empregado da assinatura de resposta a incidentes DigitalMint — declarou-se culpado pelo seu papel em uma série de ataques de ransomware ligados à operação BlackCat (também conhecida como ALPHV) entre 2023 e 2025. O processo pode ser consultado nos documentos publicados pelo tribunal. DocumentCloud.
A acusação não fica em uma história isolada: Martino atuou junto a outros dois negociadores que trabalhavam para assinaturas de resposta a incidentes — identificados como Kevin Tyler Martin e Ryan Clifford Goldberg — e os três enfrentam acusações por conspiração para extorsionar e por danos intencionais a sistemas informáticos protegidos. De acordo com o Ministério Público, enquanto desempenhavam tarefas de negociação para vítimas, filtravam informações-chave sobre as posições de negociação e os limites das apólices de seguro, o que permitiu aos operadores de BlackCat exigir somas próximas ao máximo possível. Os documentos apontam ainda que, como afiliados do BlackCat, esses indivíduos pagavam aos administradores do grupo uma comissão de 20% pelo acesso ao malware e ao portal de extorsão.
O impacto económico descrito na acusação é contundente: entre as vítimas há desde escritórios legais e escolas até centros médicos e empresas de serviços financeiros. Em alguns casos, foram registados pagamentos de resgate de números extraordinários, com exemplos que atingem mais de 25 milhões de dólares por vítima. Essas magnitudes sublinham a elevada profissionalização e rentabilidade - para os criminosos - das operações de ransomware nos últimos anos.
A revelação de que negociadores profissionais colaboraram com um grupo criminoso levanta questões sobre a confiança que as organizações depositam em quem os ajudam a gerir crises cibernéticas. O papel tradicional do negociador é reduzir os danos: avaliar a situação, aconselhar sobre opções e, se for caso disso, negociar a liberação de dados ou chaves. Quando esse papel se corrompe, a vítima fica duplamente exposta: primeiro pela intrusão inicial e depois porque a informação que deve ser protegida ajuda a inflar a extorsão.
Do ponto de vista organizacional, a resposta da DigitalMint foi rápida e tajante: a empresa informou que havia demitido os funcionários envolvidos após descobrir as condutas denunciadas e que condenava os fatos. A reação da assinatura, coletada em relatórios jornalísticos, aponta para a necessidade de controles internos mais rigorosos em empresas que lidam com informações críticas durante incidentes de segurança. Para ler a cobertura que recolhe a reação da empresa e outros detalhes, ver a peça BleepingComputer.
Além deste caso específico, o BlackCat/ALPHV tem sido apontado por agências de segurança como um dos grupos de ransomware mais ativos e com maior capacidade de monetização. O FBI e outras entidades de segurança documentaram dezenas de lacunas relacionadas com o grupo e estimaram que os operadores e afiliados arrecadaram centenas de milhões de dólares em pagamentos de resgates durante períodos recentes. Para entender o contexto mais amplo em que operam estas bandas e as recomendações sobre como preparar e responder, as páginas de organismos como a CISA e o FBI oferecem guias e alertas que podem ser consultados em CISA - Ransomware e na seção de pesquisas cibernéticas FBI.
Este episódio deixa lições claras para empresas, seguradoras e prestadores de serviços de resposta: os controlos de acesso, a segregação de funções, a monitorização de actividade interna e a verificação de integridade dos participantes na gestão de incidentes não são opcionais. As assinaturas de resposta devem auditar os seus processos e demonstrar que atuam com transparência, porque o valor mais importante num ataque não é apenas a capacidade técnica para recuperar sistemas, mas a confiança que mantém com a vítima.
Há também uma dimensão regulamentar e de mercado. À medida que os resgates superam números enormes, cresce o escrutínio sobre compras de seguros cibernéticos e sobre a forma como os incidentes são relatados e geridos. Reguladores, seguradoras e clientes finais exigirão cada vez mais garantias sobre a ética e a rastreabilidade das negociações e decisões tomadas em nome de uma organização afetada. Se a indústria não incorpora salvaguardas efetivas, a confiança, pilar do negócio da cibersegurança, pode erosionar-se.
Finalmente, para aqueles que trabalham em segurança ou dirigem organizações, o caso serve de alerta: não basta contratar especialistas; é preciso verificar o seu comportamento, limitar privilégios e estabelecer mecanismos que detectem e preveem abusos. O ecossistema do ransomware evolui rapidamente, tanto em técnicas como em modelos econômicos, e eventos como o que envolve Martino, Martin e Goldberg lembram que as ameaças também podem vir do interior.
Para aprofundar os testes apresentados pelo Ministério Público e pelos cargos formais, o processo pode ser consultado DocumentCloud. Para contexto sobre BlackCat/ALPHV e recursos de mitigação, a CISA mantém materiais úteis em sua página sobre ransomware, e o FBI publica pesquisas e alertas em seu portal de pesquisa cibernética.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
YellowKey A falha do BitLocker que poderia permitir a um atacante desbloquear sua unidade com apenas acesso físico
A Microsoft publicou uma mitigação para uma vulnerabilidade de omissão de segurança de BitLocker conhecida como YellowKey (CVE-2026-45585), depois de seu teste de conceito ser d...