Dois profissionais da área de cibersegurança foram condenados a quatro anos de prisão nos Estados Unidos por participação direta em ataques de ransomware ligados à operação BlackCat ransomware group, também conhecida como ALPHV. O caso expõe um cenário preocupante: especialistas que deveriam proteger sistemas acabaram utilizando seu conhecimento técnico para conduzir ataques e extorsões contra empresas.

Ryan Goldberg, de 40 anos, e Kevin Martin, de 36, atuaram entre abril e dezembro de 2023 executando ataques contra múltiplas vítimas em território norte-americano. Ambos se declararam culpados em dezembro de 2025, após investigação conduzida pelo U.S. Department of Justice. Um terceiro envolvido, Angelo Martino, também participou da operação e aguarda sentença prevista para julho de 2026.

A operação criminosa seguia o modelo de Ransomware-as-a-Service (RaaS), no qual os hackers obtêm acesso à infraestrutura do grupo BlackCat mediante pagamento de comissão. No caso, os envolvidos concordaram em repassar 20% dos valores obtidos em resgates aos operadores do ransomware, mantendo os 80% restantes entre eles.

A cadeia de ataque envolvia etapas típicas de campanhas de ransomware. Inicialmente, os hackers realizavam o acesso às redes das vítimas, explorando vulnerabilidades ou credenciais comprometidas. Em seguida, implantavam o ransomware para criptografar sistemas críticos e, simultaneamente, exfiltravam dados sensíveis — prática conhecida como dupla extorsão.

Após o comprometimento, iniciava-se a fase de negociação, na qual as vítimas eram pressionadas a pagar para recuperar o acesso aos sistemas e evitar a divulgação dos dados roubados. Em um dos casos documentados, os criminosos conseguiram extorquir cerca de US$ 1,2 milhão em Bitcoin, valor posteriormente lavado para dificultar o rastreamento.

Um dos pontos mais críticos do caso envolve o uso indevido de conhecimento privilegiado. Todos os envolvidos atuavam profissionalmente na área de segurança da informação. Kevin Martin e Angelo Martino trabalhavam na empresa DigitalMint, especializada em resposta a incidentes e negociação de ransomware, enquanto Goldberg ocupava o cargo de gerente de resposta a incidentes na Sygnia.

Segundo as autoridades, Martino utilizou sua posição como negociador para obter informações confidenciais das vítimas, incluindo limites de apólices de seguro cibernético, e repassá-las aos operadores do ransomware para maximizar os valores exigidos nos resgates — uma prática que agrava significativamente o impacto financeiro das vítimas.

O grupo BlackCat, apesar de já não estar mais ativo, foi um dos mais relevantes no ecossistema de ransomware nos últimos anos, sendo responsável por ataques a mais de 1.000 organizações globalmente. Sua operação utilizava técnicas avançadas, incluindo criptografia robusta, evasão de detecção e plataformas próprias de vazamento de dados.

O caso reforça uma tendência preocupante no cenário de ameaças: o abuso de acesso privilegiado e conhecimento técnico por insiders. Profissionais com experiência em defesa podem se tornar ameaças altamente eficazes quando atuam maliciosamente, especialmente em contextos onde possuem acesso a informações sensíveis e processos críticos.

Além disso, o episódio evidencia riscos no modelo de negócios de empresas que atuam em resposta a incidentes e negociação de ransomware, levantando questionamentos sobre governança, segregação de funções e controles internos.