Twee Amerikaanse cybersecuritymedewerkers hebben schuld bekend aan aanvallen met de BlackCat/ALPHV-ransomware. Ryan Goldberg en Kevin Martin verdienden miljoenen door organisaties af te persen, waaronder een medisch bedrijf dat 1,2 miljoen dollar losgeld betaalde. Ze riskeren elk maximaal 20 jaar cel.
De mannen werkten als incident response manager en ransomware-onderhandelaar bij cybersecuritybedrijven. Goldberg werkte als incident response supervisor bij Sygnia Consulting, Martin was een ransomware-onderhandelaar voor DigitalMint. Ze gebruikten hun expertise juist om aanvallen uit te voeren in plaats van te bestrijden, aldus het Amerikaanse Department of Justice (DoJ). Tussen april en december 2023 zetten ze meerdere slachtoffers onder druk.
Goldberg en Martin sloten een deal met de beheerders van de BlackCat/ALPHV-ransomware. Ze betaalden 20 procent van elk losgeldbedrag aan de ransomwaregroep. In ruil kregen ze toegang tot de malware en het afpersingsplatform van de criminele organisatie. Hun aandeel van 80 procent verdeelden ze met een derde verdachte, die niet bij naam genoemd is.
Van 1,2 miljoen naar witwassen
Eén slachtoffer, een medisch bedrijf, betaalde circa 1,2 miljoen dollar in Bitcoin. De drie verdachten verdeelden hun aandeel van 960.000 dollar onderling en wasten het geld wit via verschillende methoden. Het Amerikaanse ministerie van Justitie stipt aan dat de “speciale vaardigheden en ervaring” van de securitymedewerkers van pas kwam om hun slachtoffers aan te vallen.
BlackCat opereerde volgens het ransomware-as-a-service-model. De groep dreigde eerder met het lekken van 80 GB Reddit-data en viel point-of-sale leverancier NCR aan, wat uitval veroorzaakte. Bij dit model ontwikkelen criminelen de ransomware en houden de infrastructuur draaiende. Aangesloten ‘affiliates’ voeren de aanvallen uit en verspreiden de malware.
FBI ontwikkelde decryptietool
De FBI ontwikkelde in december 2023 een decryptietool die honderden slachtoffers hielp hun systemen te herstellen. Deze tool bespaarde slachtoffers naar schatting 99 miljoen dollar aan losgeldbedragen. Tegelijkertijd nam de FBI meerdere websites van BlackCat in beslag.
BlackCat/ALPHV maakte wereldwijd meer dan duizend slachtoffers, aldus de Amerikaanse autoriteiten. De groep kondigde in maart 2024 aan te stoppen na de aanval op Change Healthcare, waarbij meer dan 100 miljoen mensen getroffen werden. Klaarblijkelijk schond de groep daarmee een morele code onder ransomware-aanvallers, of in ieder geval de potentiële affiliates van dit collectief.
De rechtbank behandelt de zaak op 12 maart 2026. Een federale rechter bepaalt dan de definitieve straf voor Goldberg en Martin. Het Amerikaanse Computer Crime and Intellectual Property Section (CCIPS) heeft sinds 2020 meer dan 180 cybercriminelen veroordeeld en gerechtelijke bevelen voor 350 miljoen dollar aan terugbetalingen verkregen.