Dwaj amerykańscy specjaliści ds. cyberbezpieczeństwa przyznali się do współpracy z ALPHV/BlackCat. Co to mówi o zagrożeniu insiderów? - Security Bez Tabu

Dwaj amerykańscy specjaliści ds. cyberbezpieczeństwa przyznali się do współpracy z ALPHV/BlackCat. Co to mówi o zagrożeniu insiderów?

Wprowadzenie do problemu / definicja luki

W tej sprawie nie chodzi o „kolejnych hakerów z zewnątrz”, tylko o nadużycie kompetencji i zaufania: dwaj profesjonaliści pracujący w branży security przyznali się do udziału w kampanii ransomware jako współpracownicy (affiliate) gangu ALPHV/BlackCat. To klasyczny przykład zagrożenia insider threat (wewnętrzny sprawca) oraz collusion (współdziałanie z grupą przestępczą) – szczególnie groźny, bo łączy wiedzę obrońców z modus operandi napastników.

W skrócie

  • Kto? Ryan Goldberg (Georgia) i Kevin Martin (Texas) – obaj pracowali w sektorze cyberbezpieczeństwa.
  • Co zrobili? Według dokumentów sądowych współdziałali przy wdrażaniu ransomware ALPHV/BlackCat przeciw ofiarom w USA i dzielili się okupami (model RaaS).
  • Zarzut / przyznanie się: obaj przyznali się do spisku w celu wymuszenia (extortion) wpływającego na handel (commerce).
  • Finanse: w jednym z udanych wymuszeń uzyskano ok. 1,2 mln USD w Bitcoinie (wg DOJ), a środki były następnie „przepuszczane” (pranie).
  • Co dalej? Termin wymierzenia kary zaplanowano na 12 marca 2026 r., a maksymalna kara to do 20 lat więzienia.

Kontekst / historia / powiązania

ALPHV/BlackCat to jedna z najbardziej rozpoznawalnych marek ransomware ostatnich lat, działająca w modelu Ransomware-as-a-Service (RaaS): „operatorzy” dostarczają malware i infrastrukturę (np. panel/portal wymuszeń), a „afilianci” realizują włamania i wdrożenia – po czym dzielą się zyskami.

W grudniu 2023 r. Departament Sprawiedliwości USA informował o zakłóceniu (disruption) działalności ALPHV/BlackCat, w tym o udostępnieniu narzędzia deszyfrującego dla setek poszkodowanych.

Na tym tle sprawa Goldberga i Martina jest szczególnie „toksyczna” wizerunkowo dla branży: według DOJ wszyscy współspiskowcy pracowali w cyberbezpieczeństwie, a ich „specjalne umiejętności” miały chronić organizacje – nie służyć do szantażu.

Analiza techniczna / szczegóły działania ALPHV/BlackCat

1) Model operacyjny: afilianci + platforma wymuszeń

Z perspektywy techniczno-operacyjnej kluczowe jest to, że afilianci dostają dostęp nie tylko do samego szyfratora, ale też do platformy extortion (negocjacje, presja, wycena okupu, publikacja danych). W tej sprawie DOJ opisuje uzgodniony podział: 20% dla administratorów ALPHV/BlackCat, reszta dla wykonawców ataku.

2) „Multiple extortion” (podwójne i wielokrotne wymuszenie)

DOJ opisywał, że BlackCat stosował wielokrotne wymuszenie: kradzież danych przed szyfrowaniem, groźby publikacji na leak site i eskalacja presji, gdy ofiara nie płaci.

3) TTP afiliantów: od socjotechniki do narzędzi post-exploitation

Materiał analityczny (Huntress) opisuje typowe TTP kojarzone z afiliantami BlackCat, m.in.:

  • socjotechnikę i pozyskiwanie dostępu (podszywanie się pod IT/helpdesk),
  • wykorzystywanie legalnych narzędzi zdalnego dostępu i transferu (np. AnyDesk / Splashtop / Mega Sync),
  • narzędzia tunelujące i C2, a także popularne frameworki post-exploitation (np. Cobalt Strike) – zależnie od kampanii.

W praktyce to miks technik „low noise” (życie z narzędzi systemowych i legalnych agentów) z klasycznym łańcuchem ataku ransomware: dostęp → eskalacja → ruch boczny → eksfiltracja → szyfrowanie → presja negocjacyjna.

4) Dlaczego „specjalista security” jako afiliant to multiplier?

W tej konfiguracji największą wartością nie jest „sam malware”, tylko:

  • umiejętność rozpoznania słabych punktów (tożsamość, zdalny dostęp, backupy),
  • zdolność do omijania kontroli, które zwykle zatrzymują przeciętnych operatorów,
  • świadomość, które logi/alerty i kiedy „zaboli” SOC.

Praktyczne konsekwencje / ryzyko

  1. Ryzyko dla firm korzystających z zewnętrznych dostawców IR/negocjatorów
    Reuters przywołuje wątek zawodowy oskarżonych oraz reakcje firm (m.in. potępienie działań i współpracę z organami ścigania). To sygnał, że nawet „zaufane” role mogą zostać nadużyte.
  2. Erozja zaufania do branży i łańcucha dostaw usług security
    Jeśli osoba mająca „obniżać” skutki ransomware jest równocześnie afiliantem, to organizacja przegrywa, zanim zacznie negocjacje.
  3. Wzrost znaczenia kontroli wewnętrznych (governance) w cyber
    Nie wystarczy EDR i backup. Potrzebne są mechanizmy, które ograniczają i wykrywają nadużycia kompetencji: rozdział ról, audyt, monitoring działań uprzywilejowanych.

Rekomendacje operacyjne / co zrobić teraz

Dla organizacji (CISO/SOC/IT)

  • Wzmocnij Third-Party Risk Management dla dostawców usług IR, negocjacji, odzyskiwania: weryfikacja personelu, zasady dostępu, logowanie działań, „need-to-know”. (Wprost: DOJ zachęca do „due diligence” przy angażowaniu stron trzecich w IR).
  • Ogranicz blast radius: segmentacja, MFA wszędzie, zasada najmniejszych uprawnień, osobne konta uprzywilejowane, PAM.
  • Twarde zasady dla zdalnego dostępu: allowlisting narzędzi RMM/remote, monitorowanie uruchomień i połączeń, blokady dla nieautoryzowanych agentów.
  • Backup odporny na kasowanie: offline/immutable + testy odtwarzania (regularnie, nie „na papierze”).
  • Telemetria i polowanie na TTP: wykrywaj nietypowe użycie narzędzi zdalnego dostępu, tuneli, masowe operacje na plikach, eksfiltrację. Jako inspirację do huntingu możesz traktować opisy TTP afiliantów BlackCat publikowane przez zespoły badawcze.

Gdy podejrzewasz ransomware lub szantaż

  • Izoluj podejrzane hosty, zabezpiecz logi i artefakty, uruchom IR.
  • Zgłoś incydent do właściwych organów (w USA: FBI/IC3 – wskazywane w komunikatach DOJ; w PL: CERT Polska / policja – zależnie od procedur).

Różnice / porównania z innymi przypadkami

W „typowym” ransomware największą przewagę daje: skala, automatyzacja i dostęp do brokerów initial access. Tutaj wyróżnikiem jest konflikt ról: osoby z doświadczeniem w reagowaniu na incydenty lub negocjacjach (wg doniesień medialnych) mają unikalną wiedzę o tym, jak firmy się bronią i gdzie najczęściej popełniają błędy.

To przesuwa ciężar obrony: mniej „czy mamy EDR”, bardziej „czy mamy procesy i kontrolę nadużyć”.

Podsumowanie / kluczowe wnioski

  • Sprawa Goldberga i Martina pokazuje, że ransomware to nie tylko problem „zewnętrznych” grup – zagrożenie może pochodzić z wnętrza ekosystemu security.
  • Model RaaS (ALPHV/BlackCat) nadal jest groźny, bo obniża próg wejścia i profesjonalizuje wymuszenia.
  • Najważniejsze działania defensywne na 2026 r. to połączenie techniki (MFA, segmentacja, monitoring) z governance (TPRM, audyt, kontrola ról i dostępu).

Źródła / bibliografia

  1. Reuters – informacja o przyznaniu się do winy i kontekst branżowy (30.12.2025). (Reuters)
  2. U.S. Department of Justice – komunikat o guilty plea, podziałach okupu i terminie wyroku (30.12.2025). (Department of Justice)
  3. BleepingComputer – podsumowanie sprawy i wskazania dot. ofiar/okupów (30.12.2025). (BleepingComputer)
  4. U.S. Department of Justice (archiwum) – opis disruption ALPHV/BlackCat i narzędzia deszyfrującego (19.12.2023). (Department of Justice)
  5. Huntress – omówienie TTP afiliantów BlackCat i łańcucha ataku (28.02.2024). (Huntress)