Tradimento dietro il firewall: professionisti della cybersicurezza diventati criminali ransomware condannati al carcere
Sottotitolo: Fidati responsabili della risposta agli incidenti informatici hanno orchestrato attacchi ransomware, incassando milioni prima della loro clamorosa caduta e delle condanne detentive.
Quando i guardiani diventano la minaccia, le conseguenze risuonano ben oltre il mondo digitale. È esattamente ciò che è accaduto quando due stimati professionisti della cybersicurezza-incaricati di difendere le aziende dall’estorsione online-sono stati smascherati come i veri architetti di una campagna ransomware. Le loro doppie vite si sono concluse questa settimana in un’aula federale, inviando onde d’urto nell’industria della difesa informatica.
Ryan Goldberg e Kevin Martin non erano i tipici criminali informatici. Goldberg, 40 anni, era impiegato presso Sygnia, una rispettata società di incident response. Martin, 36 anni, lavorava come negoziatore di ransomware per DigitalMint, un’azienda specializzata nell’aiutare le vittime a gestire le richieste estorsive. Insieme al loro complice Angelo Martino, hanno orchestrato una serie di attacchi ransomware ALPHV/BlackCat tra aprile e dicembre 2023.
Invece di proteggere le vittime, il trio ha sfruttato le proprie posizioni privilegiate e le conoscenze interne. Hanno selezionato con cura i bersagli, facendo leva su informazioni riservate ottenute durante il lavoro di risposta agli incidenti. L’attacco più redditizio del gruppo ha fruttato 1,2 milioni di dollari dopo che hanno minacciato-e infine diffuso-dati sensibili dei pazienti di uno studio medico. I procuratori hanno descritto le loro tattiche come spietate, con l’assistente procuratore generale Andrew Tysen Duva che ha sottolineato il tradimento: “Questi avrebbero dovuto essere specialisti di cybersicurezza che facevano del bene e aiutavano aziende e persone.”
Martino ha portato lo schema a un livello superiore. Mentre negoziava riscatti per conto di cinque diverse vittime, collaborava segretamente con bande ransomware, vendendo loro informazioni interne-compresi i massimali delle polizze assicurative-per massimizzare i pagamenti estorsivi. Alcuni riscatti sono arrivati fino a 26 milioni di dollari. Le forze dell’ordine hanno infine sequestrato a Martino beni per 10 milioni di dollari; la sua sentenza è prevista per luglio e rischia fino a 20 anni di carcere.
L’indagine ha avuto una portata globale. Il tentativo di fuga di Goldberg ha portato l’FBI a un inseguimento in dieci Paesi prima della sua cattura. La violazione della fiducia, e la sofisticazione dell’operazione, hanno gelato la comunità della cybersicurezza, sollevando domande scomode su selezione e supervisione in un settore costruito sulla fiducia.
Nel frattempo, DigitalMint ha implementato riforme radicali: tutte le negoziazioni di riscatto devono ora essere registrate e verificabili, con supervisione diretta da parte di uno dei fondatori dell’azienda. Inoltre, i responsabili della risposta agli incidenti e i negoziatori saranno soggetti al controllo del Dipartimento per la Sicurezza Interna. Queste misure mirano a ripristinare la fiducia in un settore scosso da insider che si sono trasformati da protettori in predatori.
Il caso è un duro promemoria del fatto che persino i difensori più fidati possono diventare minacce formidabili quando vengono oltrepassati i confini etici. Per il mondo della cybersicurezza, la sfida ora è garantire che le volpi restino fuori dal pollaio-e che la fiducia, una volta spezzata, possa essere ricostruita.
TECHCROOK
Per ridurre il rischio di “insider threat” e contenere i danni in caso di ransomware, un supporto concreto è un NAS con snapshot e backup immutabili come Synology DiskStation DS923+. È un’unità di archiviazione di rete per PMI e studi professionali che centralizza i dati e consente politiche di protezione multilivello: snapshot frequenti per recuperi rapidi, versioning, replica verso un secondo sito e integrazione con backup su cloud. Supporta cifratura, controllo accessi granulare, log e notifiche, utili per audit e supervisione operativa. Con dischi adeguati e una strategia 3-2-1, aiuta a ripristinare servizi senza pagare riscatti e a limitare l’impatto di accessi abusivi. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.
Synology DiskStation DS923+ è disponibile su diversi canali e si può acquistare anche su Amazon.
WIKICROOK
- Incident Responder: Un Incident Responder è un esperto di cybersicurezza che rileva, indaga e gestisce le risposte a violazioni della sicurezza o attacchi informatici.
- Ransomware: Il ransomware è un software malevolo che cifra o blocca i dati, chiedendo un pagamento alle vittime per ripristinare l’accesso ai propri file o sistemi.
- Estorsione: L’estorsione nella cybersicurezza si verifica quando gli attaccanti chiedono denaro o favori minacciando di pubblicare contenuti online dannosi o dati sensibili, a meno che le loro richieste non vengano soddisfatte.
- Ransomware Negotiator: Un negoziatore di ransomware è uno specialista che comunica con i criminali informatici per ridurre le richieste di riscatto o guadagnare tempo per le vittime di un attacco ransomware.
- Minaccia interna: Una minaccia interna si verifica quando qualcuno all’interno di un’organizzazione abusa del proprio accesso a sistemi o dati, intenzionalmente o accidentalmente, causando danni.




