Când foști angajați ai companiilor care răspund la incidente cibernetice devin la rândul lor ținta unei anchete, perspectiva se schimbă: este vorba despre trei bărbați acuzați că ar fi orchestrat atacuri ransomware asupra unor firme americane, iar locul faptei este rețeaua digitală a victimelor, cu repercusiuni în mai multe state din SUA. Amintind că domeniul securității cibernetice a avansat mult de la primele viruși informatici din anii 1980 până la rețelele criminale sofisticate de azi, cazul evidențiază riscul intern și ambiguitatea rolurilor care până recent erau privite doar ca defensive.
Procurorii îi acuză pe Kevin Tyler Martin, 28 de ani din Roanoke, Texas, pe Ryan Clifford Goldberg, 33 de ani din Watkinsville, Georgia, și pe un compliceneidentificat că ar fi accesat fără autorizație rețelele a cinci companii americane între mai și noiembrie 2023, fapte atribuite grupării BlackCat, cunoscută și sub numele ALPHV. Martin a pledat nevinovat, Goldberg se află în custodie federală din septembrie 2023, iar capetele de acuzare includ conspirație pentru a obstrucționa comerțul interstatal prin extorcare și distrugerea intenționată a unor sisteme protejate. Dacă vor fi găsiți vinovați, riscă pedepse de până la 20 de ani pentru extorcare și 10 ani pentru afectarea sistemelor informatice.
Dosarele instanței, neînchise și semnalate inițial de Chicago Sun-Times, arată că Martin lucra la DigitalMint ca negociator de amenințări ransomware, aceeași funcție menționată pentru complicele necunoscut, iar Goldberg era fost manager de răspuns la incidente la Sygnia. Departamentul de Justiție susține că aceștia ar fi acționat ca afiliați ALPHV BlackCat: ar fi obținut acces neautorizat, ar fi sustras date, ar fi activat programe de criptare și ar fi cerut plăți în criptomonede pentru cheile de decriptare și pentru promisiuni de a nu publica informațiile furate.
Victimele enumerate în rechizitoriu sunt variate: un producător de dispozitive medicale din Tampa, o companie farmaceutică din Maryland, un cabinet medical din California, o firmă de inginerie tot din California și un producător de drone din Virginia. Sumele cerute ca răscumpărare raportate de procurori variau considerabil, între 300.000 și 10 milioane de dolari. Într-un caz, producătorul din Tampa ar fi plătit 1, 27 milioane de dolari după ce serverele i-au fost criptate, în pofida unei solicitări inițiale de 10 milioane în mai 2023. Pentru celelalte victime, actul de acuzare menționează cererile, dar nu precizează dacă s-au efectuat plăți suplimentare.
Cazul se adaugă unei baze de date mai ample despre practica plăților către grupuri de ransomware și despre posibila complicitate sau tăcere a unor firme care ar fi trebuit să asiste victimele. Presa de specialitate a relatat anterior că Departamentul de Justiție investiga un fost negociator de la DigitalMint pentru presupuse înțelegeri cu bande de ransomware în vederea obținerii unor beneficii din plățile de extorcare. DOJ și FBI au refuzat atunci să comenteze, iar nu e clar dacă rechizitoriul actual are legătură cu acea anchetă. În plus, un reportaj ProPublica din 2019 a arătat că unele firme de recuperare de date din SUA ar fi plătit grupuri de ransomware în secret, în timp ce facturau clienților taxe pentru restaurare fără a dezvălui aceste plăți.
Datele și avertismentele instituțiilor federale oferă deja un context îngrijorător: un comunicat din februarie 2024 emis de FBI, CISA și Departamentul pentru Sănătate și Servicii Umane semnala că afiliații BlackCat vizau în mod special sectorul sănătății din SUA. FBI a legat BlackCat de peste 60 de breșe între noiembrie 2021 și martie 2022, iar gruparea ar fi acumulat cel puțin 300 de milioane de dolari din peste 1.000 de victime până în septembrie 2023. Prin urmare, nu este vorba doar despre incidente izolate, ci despre o activitate continuă, cu impact semnificativ asupra entităților care gestionează date sensibile.
Cauza ridică probleme mai largi legate de încredere și conflicte de interese în industria securității cibernetice: unul dintre paradoxuri apare când specialiștii plătiți să apere rețelele au acces la aceleași mecanisme folosite pentru compromitere. Totodată, cifrele menționate, cereri de până la 10 milioane de dolari, plata de 1, 27 milioane de dolari și estimările FBI privind sute de milioane de dolari obținute de grupări precum BlackCat, ilustrează amploarea afacerii ilicite și presiunea financiară exercitată asupra organizațiilor, inclusiv din sănătate. Pe termen lung, astfel de cazuri pot determina companii și reglementatori să revizuiască procedurile de transparență, politicile firmelor de recuperare și relația dintre consultanții externi și clienți. Sporirea supravegherii și clarificarea reglementărilor privind plățile de răscumpărare și conflictele de interese ar putea fi pași concreți pentru reducerea riscurilor prezentate aici.
Rechizitoriul menționează nume precum Kevin Tyler Martin și Ryan Clifford Goldberg, sume de tipul 1, 27 milioane de dolari și cererea maximă de 10 milioane în cazul din Tampa, precum și implicarea grupării BlackCat/ALPHV și avertismentele comune FBI-CISA-HHS. Urmările vor influența modul în care sunt evaluate și reglementate firmele de răspuns la incidente. Cum crezi că ar trebui fost reglementată mai strict activitatea firmelor care intermediază plăți sau negocieri în cazurile de ransomware?
Fii primul care comentează