Rischio Insider nel Ransomware BlackCat: Analisi del Tradimento
Scopri l'impatto del tradimento insider nel ransomware BlackCat: negoziatori sfruttano difese per estorsioni. Cosa sapere sulla condanna del 2026.
Contenuto
In un'aula di tribunale federale degli Stati Uniti, la fiducia riposta negli esperti di sicurezza informatica si è infranta contro la realtà dei fatti: coloro che erano stati assunti per mitigare l'emergenza ransomware avevano architettato l'attacco stesso. Il 20 aprile 2026, Angelo Martino, 41 anni, si è dichiarato colpevole di cospirazione per ostacolare il commercio tramite estorsione, portando alla luce un inquietante schema di tradimento dall'interno che ha colpito cinque vittime di ransomware tra l'aprile e il novembre 2023.
Le ammissioni di colpevolezza e lo stato delle condanne
Le vicende giudiziarie legate al ransomware BlackCat, noto anche come ALPHV, hanno registrato sviluppi significativi nelle ultime settimane. Angelo Martino ha formalizzato la sua ammissione di colpevolezza il 20 aprile 2026, esponendosi a una pena massima di 20 anni di prigione; la sentenza è fissata per il 9 luglio 2026. Prima di lui, i suoi complici avevano già concluso il loro percorso legale: Ryan Goldberg e Kevin Martin si erano dichiarati colpevoli a dicembre 2025 e, nel maggio 2026, hanno ricevuto una condanna definitiva a 4 anni di prigione ciascuno.
I tre professionisti hanno operato in modo coordinato per distribuire il ransomware BlackCat contro diverse vittime negli Stati Uniti tra l'aprile e il novembre 2023. L'aspetto più rilevante di questa operazione non risiede esclusivamente nella distribuzione del malware, ma nel ruolo rivestito dagli attaccanti: Goldberg era un ex incident response manager di Sygnia, mentre Martin e Martino operavano come negoziatori ransomware per DigitalMint. Essi hanno sfruttato le loro competenze e l'accesso privilegiato per orchestrare e alimentare gli attacchi.
Il modus operandi: l'exploit della fiducia aziendale
La particolarità dell'operazione BlackCat risiede nell'inversione dei ruoli: i difensori si sono trasformati in attaccanti. Tra l'aprile e il novembre 2023, Angelo Martino ha lavorato come negoziatore per cinque diverse vittime di ransomware. In questa posizione di estrema fiducia, Martino ha fornito agli operatori di BlackCat informazioni riservate essenziali per massimizzare l'estorsione, inclusi i limiti delle polizze assicurative cyber e le posizioni di negoziazione interna delle aziende colpite, il tutto senza il permesso dei clienti o del proprio datore di lavoro.
Questa dinamica suggerisce che la presenza di professionisti terzi, teoricamente incaricati di contenere il danno, sia stata manipolata per fornire all'infrastructure avversaria un vantaggio tattico determinante. Conoscendo esattamente fino a dove potevano spingersi le risorse economiche della vittima e le sue strategie difensive, gli estorsori hanno potuto calibrare le richieste di riscatto con precisione chirurgica. In una specifica occasione, i tre hanno estorto circa 1,2 milioni di dollari in Bitcoin a una singola vittima, dividendosi i proventi e procedendo al riciclaggio dei fondi.
Le parole del Assistant Attorney General A. Tysen Duva, del DoJ Criminal Division, riassumono la gravità della situazione: "Angelo Martino's clients trusted him to respond to ransomware threats and help thwart and remedy them on behalf of victims. Instead, he betrayed them and began launching ransomware attacks himself by assisting cyber criminals and harming victims, his own employer, and the cyber incident response industry itself."
Sequestro di beni e l'impatto finanziario
La risposta delle autorità federali non si è limitata alle imputazioni penali. Per Angelo Martino, i provvedimenti di sequestro hanno raggiunto un valore considerevole, pari a 10 milioni di dollari in beni sequestrati. Il mandato di sequestro ha interessato non solo valute digitali e veicoli, ma anche beni di lusso atipici per le consuete operazioni di sequestro crypto, come un food truck e una barca da pesca di lusso, a dimostrazione della tangibilità dei proventi illeciti derivanti dalle attività di estorsione.
L'azione investigativa ha colpito duramente il gruppo BlackCat, che ha subito un quasi collasso, in linea con l'intensificazione dell'attenzione delle forze dell'ordine internazionali che nel 2023 hanno portato al declino anche di altri gruppi come Hive e Ragnar Locker. Sebbene il caso specifico riguardi eventi del 2023, le conseguenze legali e finanziarie si sono estese fino alle condanne del maggio 2026, segnando un precedente rilevante per l'intero settore della risposta agli incidenti.
Il contesto dei negoziatori e il dibattito sui riscatti
I negoziatori specializzati in ransomware non sono figure improvvisate: molti provengono da background nell'intelligence militare, nelle forze dell'ordine o nell'incident response. Le loro competenze sono orientate alla contenimento del danno. Ad esempio, GuidePoint Security ha riportato che il proprio team ha dimostrato successo nel negoziare accordi con riduzioni che superano l'85% della richiesta iniziale; secondo un comunicato Business Wire dell'agosto 2023, le capacità di negoziazione di GRIT hanno ridotto la richiesta media di riscatto del 50%.
Tuttavia, il tradimento operato da Martino, Goldberg e Martin getta un'ombra inquietante sull'intera filiera. E probabile che la violazione della fiducia da parte di figure interne spinga le aziende a rivedere radicalmente i protocolli di segregazione delle informazioni durante le emergenze cyber, limitando l'accesso anche ai consulenti esterni. Questo scenario si inserisce in un dibattito più ampio sulla potenziale messa al bando dei pagamenti dei riscatti. In diverse giurisdizioni, si discute di inibire il pagamento delle estorsioni tramite pesanti sanzioni amministrative per le aziende colpite, una misura che implicitamente renderebbe obsolete o illegali le attività dei cyber-negotiator.
Domande frequenti
- Come hanno tradito i negoziatori le vittime del ransomware BlackCat?
- Angelo Martino, agendo come negoziatore per cinque vittime di ransomware tra aprile e novembre 2023, ha fornito agli hacker di BlackCat informazioni riservate sui limiti delle polizze assicurative e sulle strategie di negoziazione interna, facilitando l'estorsione.
- Quali sono le condanne per il caso del ransomware BlackCat nel 2026?
- Nel maggio 2026, Ryan Goldberg e Kevin Martin sono stati condannati a 4 anni di prigione. Angelo Martino si è dichiarato colpevole il 20 aprile 2026 e la sua sentenza, con un massimo di 20 anni, è prevista per il 9 luglio 2026.
- Quali beni sono stati sequestrati ad Angelo Martino?
- Le autorità hanno sequestrato beni per un valore di 10 milioni di dollari a Angelo Martino, tra cui valute digitali, veicoli, un food truck e una barca da pesca di lusso, proventi dell'attività di estorsione.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.matricedigitale.it/2025/12/31/esa-breach-cybercrime-arresti/
- https://www.punto-informatico.it/blackcat-esperti-sicurezza-accusati-attacchi/
- https://www.ictsecuritymagazine.com/notizie/ransomware-2025/
- https://en.ilsole24ore.com/art/cyber-extortion-tight-ransoms-risk-accusing-negotiators-AHthFvB
- https://www.bitmat.it/sicurezza/ransomware-nel-2023-le-vittime-sono-cresciute-del-49/