Um caso que expõe uma das camadas mais sensíveis do ecossistema de resposta a incidentes ganhou novos desdobramentos nos Estados Unidos. Angelo Martino, ex-negociador de ransomware, declarou-se culpado por colaborar com o grupo hacker ALPHV/BlackCat, traindo empresas que haviam contratado sua própria equipe para lidar com ataques cibernéticos.

Martino atuava em uma empresa de resposta a incidentes — identificada em documentos judiciais como “Company-1”, associada à empresa DigitalMint — e tinha como função auxiliar vítimas a negociar com hackers para reduzir impactos financeiros. No entanto, em vez de proteger os clientes, ele repassava informações confidenciais diretamente aos invasores.

A atuação do insider seguia uma lógica clara dentro da cadeia de ataque. Após o comprometimento inicial das empresas por meio de ransomware, as vítimas acionavam especialistas para conduzir negociações. Nesse momento, Martino acessava dados críticos — como limites de apólices de seguro cibernético e percepção interna sobre a disposição de pagamento — e os compartilhava com o grupo hacker. Essas informações permitiam aos criminosos ajustar a estratégia de extorsão, aumentando significativamente os valores exigidos.

Além do vazamento de informações, Martino também admitiu participação direta em ataques, atuando ao lado de outros dois envolvidos — Ryan Goldberg e Kevin Martin — na implantação do ransomware em múltiplas vítimas entre abril e novembro de 2023. Ou seja, o caso deixou de ser apenas espionagem interna e passou a configurar envolvimento ativo na operação criminosa.

Os impactos financeiros foram expressivos. Documentos judiciais revelam que uma empresa do setor de hospitalidade pagou cerca de US$ 16,4 milhões em resgate, enquanto uma organização sem fins lucrativos desembolsou aproximadamente US$ 26,8 milhões. Uma empresa de serviços financeiros também realizou pagamento superior a US$ 25,6 milhões. Outros casos incluem US$ 6,1 milhões pagos por uma empresa de varejo e US$ 213 mil por uma organização da área médica.

Somando diferentes incidentes, os três envolvidos chegaram a exigir mais de US$ 16 milhões em ataques conduzidos diretamente por eles, além de lucrarem com operações onde atuavam como intermediários. Parte desses valores foi dividida entre o grupo e posteriormente lavada para ocultar a origem ilícita.

As autoridades já conseguiram apreender cerca de US$ 10 milhões em ativos ligados a Martino, incluindo criptomoedas, veículos de luxo, propriedades e até bens incomuns, como um food truck e um barco de pesca adquirido com recursos provenientes dos crimes. Dois imóveis na Flórida também estão em processo de confisco.

O caso levanta um alerta relevante para o mercado de cibersegurança: o risco interno em empresas que atuam justamente na linha de frente contra ataques. A confiança depositada em equipes de resposta a incidentes é um dos pilares da gestão de crises cibernéticas, e episódios como esse expõem vulnerabilidades não técnicas, mas humanas e processuais.

Do ponto de vista estratégico, o incidente também evidencia a sofisticação crescente dos grupos hackers. Ao explorar não apenas falhas técnicas, mas também relações de confiança e processos de negociação, essas operações ampliam sua eficácia e aumentam o retorno financeiro.

O grupo ALPHV/BlackCat, conhecido por operar no modelo de Ransomware-as-a-Service (RaaS), já esteve envolvido em diversas campanhas de alto impacto, combinando criptografia de dados, exfiltração e extorsão dupla. A colaboração de um insider com acesso privilegiado elevou ainda mais o nível de eficiência dessas operações.

Martino aguarda sentença, prevista para julho, enquanto seus cúmplices devem ser julgados ainda em abril. Todos podem enfrentar penas de até 20 anos de prisão.