Insider ransomware: 4 anni a due professionisti USA per BlackCat
Due professionisti cybersecurity condannati a 4 anni per il ransomware BlackCat. Il caso rivela il pericolo insider: negoziatori che tradiscono le vittime per
Contenuto
Il 30 aprile 2026 Ryan Goldberg (40 anni, Georgia) e Kevin Martin (36 anni, Texas), due professionisti americani della cybersecurity, sono stati condannati a quattro anni di reclusione per la loro attività di affiliate del gruppo ransomware ALPHV/BlackCat tra aprile e dicembre 2023. L'inchiesta del Dipartimento di Giustizia statunitense e dell'FBI ha ricostruito come competenze tecniche e posizioni fiduciarie siano state convertite in strumenti di estorsione, minando la fiducia nei servizi di incident response.
L'indagine riguarda anche il co-conspirator Angelo Martino, negoziatore che ha ammesso di aver agito come doppio agente sfruttando informazioni privilegiate delle vittime per massimizzare i riscatti; la sua sentenza è prevista per il 9 luglio 2026.
- Goldberg e Martin, rispettivamente incident response manager per Sygnia e impiegato in DigitalMint, hanno operato come affiliate di ALPHV/BlackCat con un revenue split che assegnava quasi l'80% dei riscatti agli operatori e il restante 20% agli amministratori.
- Angelo Martino, co-conspirator e negoziatore per DigitalMint, ha ammesso la colpevolezza per aver condiviso con i threat actor informazioni confidenziali sui limiti delle polizze assicurative delle vittime, massimizzando i riscatti; tutte e cinque le aziende da lui gestite tramite il suo ruolo legittimo hanno pagato.
- I tre hanno estorto circa 1,2 milioni di dollari in Bitcoin da una singola vittima, riciclando i proventi, mentre nell'indictment figurano una decina di attacchi, sei dei quali hanno generato pagamenti per oltre 75,25 milioni di dollari.
- L'FBI ha inseguito Goldberg attraverso quasi dieci paesi dopo il tentativo di fuga all'estero; sono stati sequestrati circa 9,2 milioni di dollari in criptovalute, proprietà e veicoli.
"These defendants exploited specialized cybersecurity knowledge not to protect victims, but to extort them." — U.S. Attorney Jason A. Reding Quiñones
Difensori con le chiavi del regno: come l'insider threat ha colonizzato l'incident response
Goldberg ricopriva il ruolo di incident response manager per Sygnia, mentre Martin e Martino erano impiegati come ransomware negotiator per DigitalMint. Queste posizioni garantivano loro non solo competenze tecniche avanzate, ma anche una rete di contatti e una visibilità sui processi di difesa aziendale. Secondo la ricostruzione del Dipartimento di Giustizia, i tre hanno sfruttato questa conoscenza interna per pivotare dall'aiuto alla compromissione, dimostrando che il rischio insider non è più confinato ai reparti IT interni, ma può emergere proprio dai consulenti chiamati a rispondere all'emergenza.
Il modello RaaS 80/20 e l'estorsione da una singola vittima
Tra aprile e dicembre 2023 i tre hanno operato come affiliate del programma ransomware-as-a-service ALPHV/BlackCat, che distribuiva malware e infrastruttura in cambio di una quota sui riscatti. Il Dipartimento di Giustizia ha confermato che gli affiliate trattenevano quasi l'80% dei pagamenti, versando il restante 20% agli amministratori del servizio. In almeno un episodio documentato, i co-conspirator hanno estorto circa 1,2 milioni di dollari in Bitcoin da una singola vittima, avviando un processo di riciclaggio dei proventi attraverso più giurisdizioni.
Nell'indictment figurano una decina di attacchi, sei dei quali hanno prodotto pagamenti cumulativi per oltre 75,25 milioni di dollari. Non è tuttavia specificato se questo ammontare rappresenti il totale estorto esclusivamente dai tre imputati o includa l'intera rete di affiliate e operatori tecnici coinvolti nel programma BlackCat.
Il tradimento del negoziatore: quando il soccorritore spinge al pagamento
Angelo Martino, 41 anni della Florida, rappresenta il caso più eclatante di conflitto d'interesse. Lavorando come ransomware negotiator per DigitalMint, gestiva le trattative per conto delle vittime che ingaggiavano l'azienda per contenere l'estorsione. Secondo il Dipartimento di Giustizia, Martino ha abusato sistematicamente di questa posizione condividendo con i threat actor di BlackCat informazioni confidenziali sui limiti delle polizze assicurative delle vittime.
L'obiettivo era calibrare le richieste di riscatto proprio al di sotto o in prossimità della copertura assicurativa, massimizzando la probabilità di pagamento senza superare la soglia che avrebbe spinto l'azienda a rifiutare. L'inchiesta ha documentato cinque vittime che avevano ingaggiato DigitalMint e per le quali Martino ha condotto le trattative: tutte e cinque hanno versato il riscatto. DigitalMint non è stata incriminata e ha cooperato con le autorità; il suo CEO Jonathan Solomon ha rilasciato una dichiarazione ufficiale.
"We strongly condemn these former employees’ criminal behavior, which violated our values, ethical standards and the law." — DigitalMint CEO Jonathan Solomon
La condanna di Martino è prevista per il 9 luglio 2026. Nel frattempo, il suo ruolo evidenzia come il settore della negoziazione ransomware, spesso opaco e privo di standard deontologici uniformi, possa diventare un canale di intelligence per i criminali se non sottoposto a controlli rigorosi.
Dalla fuga internazionale al sequestro dei proventi: il ruolo dell'FBI
L'indagine ha richiesto un'azione investigativa transnazionale. Dopo l'avvio del procedimento, Ryan Goldberg ha tentato la fuga all'estero; l'FBI lo ha inseguito attraverso quasi dieci paesi prima di ricondurlo in territorio statunitense per il processo. La stessa operazione ha permesso di sequestrare circa 9,2 milioni di dollari in criptovalute, oltre a proprietà e veicoli riconducibili ai proventi dell'estorsione.
Il Dipartimento di Giustizia ha reso noto che la pena massima teorica per il reato di cospirazione estorsiva raggiunge i 20 anni di reclusione. La sentenza di quattro anni per Goldberg e Martin riflette probabilmente il riconoscimento di circostanze attenuanti o di collaborazione, pur rimanendo una sanzione significativa per operatori che operavano nell'ombra del settore legittimo.
"Today’s sentencings show that ransomware criminals can operate anywhere, including right here in the United States, and that the FBI is actively working to track them down and dismantle their networks — wherever they exist." — FBI Assistant Director Brett Leatherman
Cosa fare adesso
- Verificare i background check periodici e i privilegi di accesso degli incident responder e dei negoziatori esterni, limitando la visibilità su policy assicurative e budget di crisi.
- Segmentare le informazioni sensibili: i limiti delle coperture cyber insurance e i piani di disaster recovery non devono essere accessibili ai consulenti di risposta agli incidenti senza esplicita necessità operativa.
- Esigere contratti di esclusività e clausole di non divulgazione vincolanti per i ransomware negotiator, con penali per conflitti d'interesse e divieto di contatti paralleli con i threat actor.
- Documentare ogni fase della negoziazione e verificare tramite canali indipendenti che il negoziatore non gestisca simultaneamente la comunicazione con il gruppo criminale per conto della vittima e per conto proprio.
Il caso BlackCat non è una anomalia isolata, ma un campanello d'allarme per un settore che delega sempre più spesso la propria sicurezza a terzi specializzati. Quando il perimetro di difesa viene affidato a mani che possono arricciarsi in un pugno contro di esso, la supply chain della fiducia diventa il campo di battaglia più insidioso. Per le aziende, la lezione è che la verifica dell'integrità dei partner incident response è tanto strategica quanto l'hardening dei sistemi.
Domande frequenti
Qual era il ruolo specifico di ciascuno dei tre all'interno delle aziende legittime?
Goldberg era incident response manager per Sygnia, mentre Martin e Martino lavoravano come ransomware negotiator per DigitalMint. DigitalMint non è stata incriminata e ha cooperato con le autorità.
Come funzionava il sistema di divisione dei proventi nel gruppo ALPHV/BlackCat?
Il Dipartimento di Giustizia ha confermato un modello di revenue split che assegnava agli affiliate quasi l'80% dei riscatti, versando il restante 20% agli amministratori del servizio ransomware-as-a-service.
L'azienda DigitalMint è stata incriminata per i reati dei suoi ex dipendenti?
No. DigitalMint non è stata incriminata e ha cooperato con le autorità. Il CEO Jonathan Solomon ha condannato pubblicamente il comportamento dei due ex dipendenti, precisando che le loro azioni violavano i valori e gli standard etici dell'azienda.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://thehackernews.com/2026/05/two-cybersecurity-professionals-get-4.html
- https://www.justice.gov/opa/pr/two-americans-who-attacked-multiple-us-victims-using-alphv-blackcat-ransomware-sentenced
- https://www.hipaajournal.com/u-s-nationals-indicted-blackcat-ransomware-attacks/
- https://thehackernews.com/
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://thehackernews.com/2026/05/two-cybersecurity-professionals-get-4.html
- https://www.justice.gov/opa/pr/two-americans-who-attacked-multiple-us-victims-using-alphv-blackcat-ransomware-sentenced
- https://www.hipaajournal.com/u-s-nationals-indicted-blackcat-ransomware-attacks/
- https://thehackernews.com/