Były negocjator ransomware przyznał się do współpracy z BlackCat przy atakach na firmy w USA

Co znajdziesz w tym artykule?

1 Wprowadzenie do problemu / definicja
2 W skrócie
3 Kontekst / historia
4 Analiza techniczna
5 Konsekwencje / ryzyko
6 Rekomendacje
7 Podsumowanie
8 Źródła

Wprowadzenie do problemu / definicja

Sprawa Angelo Martino pokazuje, że jednym z najpoważniejszych zagrożeń w obsłudze incydentów ransomware nie jest wyłącznie samo złośliwe oprogramowanie, ale także ryzyko nadużyć po stronie podmiotów mających pomagać ofiarom. Były negocjator ransomware przyznał się do udziału w schemacie, w którym poufne informacje zdobywane podczas wsparcia poszkodowanych organizacji miały służyć operatorom BlackCat/ALPHV do zwiększania skuteczności wymuszeń.

To zdarzenie unaocznia, że zagrożenie wewnętrzne w sektorze cyberbezpieczeństwa może mieć równie poważne skutki jak kompromitacja systemów, wyciek danych czy brak segmentacji sieci. W praktyce oznacza to konieczność rozszerzenia modelu obrony o kontrolę zaufania wobec partnerów obsługujących incydenty.

W skrócie

Angelo Martino, 41-letni mieszkaniec Florydy, przyznał się do winy w sprawie spisku związanego z wymuszeniami realizowanymi przy użyciu ransomware BlackCat. Według ustaleń śledczych od kwietnia 2023 r. miał przekazywać operatorom grupy poufne dane dotyczące ofiar, w tym limity polis cyberubezpieczeniowych i wewnętrzne strategie negocjacyjne.

Śledczy wskazują, że współpracował również z Ryanem Goldbergiem i Kevinem Martinem przy atakach na wiele organizacji w USA. W jednej ze spraw grupa miała wyłudzić około 1,2 mln dolarów w bitcoinie, a organy ścigania przejęły aktywa Martino o wartości około 10 mln dolarów. Wyrok w sprawie ma zapaść 9 lipca 2026 r., a maksymalny wymiar kary wynosi 20 lat pozbawienia wolności.

przekazywanie poufnych danych o ofiarach operatorom ransomware,
wykorzystanie informacji o limitach polis i strategiach negocjacyjnych,
współpraca z innymi osobami zaangażowanymi w ataki BlackCat,
przejęcie aktywów o znacznej wartości przez organy ścigania.

Kontekst / historia

BlackCat, znany również jako ALPHV, był jednym z najbardziej rozpoznawalnych modeli ransomware-as-a-service. Grupa funkcjonowała w oparciu o ekosystem operatorów i afiliantów odpowiedzialnych za uzyskanie dostępu do środowisk ofiar, eksfiltrację danych, szyfrowanie systemów oraz prowadzenie wymuszeń finansowych.

W grudniu 2023 r. działania organów ścigania poważnie zakłóciły działalność BlackCat. FBI opracowało narzędzie deszyfrujące, które pomogło setkom ofiar i według władz pozwoliło ograniczyć straty związane z okupami o dziesiątki milionów dolarów. Mimo to śledztwa dotyczące osób współpracujących z ekosystemem grupy były kontynuowane.

W grudniu 2025 r. do winy przyznali się również Ryan Goldberg i Kevin Martin. Sprawa Martino ma jednak szczególne znaczenie, ponieważ dotyczy osoby działającej w obszarze negocjacji ransomware, a więc posiadającej dostęp do wyjątkowo wrażliwych danych biznesowych i operacyjnych ofiar.

Analiza techniczna

Z technicznego punktu widzenia sprawa nie dotyczy wyłącznie wdrożenia ransomware, ale kompromitacji całego procesu reagowania na incydent. Kluczowe znaczenie miało wykorzystanie informacji uprzywilejowanych pozyskiwanych podczas legalnej obsługi poszkodowanych podmiotów.

Według opisu sprawy Martino miał uzyskiwać dostęp do danych szczególnie cennych dla operatorów wymuszeń. Takie informacje pozwalają napastnikom lepiej dopasować wysokość żądań finansowych, ocenić zdolność organizacji do zapłaty i skrócić proces negocjacji.

limity odpowiedzialności z polis cyberubezpieczeniowych,
wewnętrzne założenia negocjacyjne klientów,
informacje o skłonności organizacji do zapłaty,
dane pomocne w ustaleniu akceptowalnego progu okupu.

W praktyce oznacza to, że grupa ransomware mogła działać nie tylko na podstawie rozpoznania technicznego, ale również w oparciu o wywiad biznesowy pozyskany z wnętrza procesu wsparcia ofiary. To istotna zmiana jakościowa, ponieważ przestępcy zyskują wgląd w to, jak daleko klient może się posunąć podczas negocjacji i jaką kwotę jest potencjalnie w stanie zaakceptować.

Sprawa pokazuje też, że ransomware może być wspierane przez osoby spoza klasycznego łańcucha ataku, takie jak brokerzy dostępu początkowego czy operatorzy infrastruktury. Równie groźne mogą okazać się osoby zatrudnione w firmach świadczących usługi reagowania na incydenty, doradztwa negocjacyjnego czy szeroko rozumianego wsparcia cyberbezpieczeństwa.

Konsekwencje / ryzyko

Najpoważniejszą konsekwencją jest utrata zaufania do procesu negocjacji i wsparcia incydentowego. Jeżeli organizacja nie może mieć pewności, że doradca działa wyłącznie w jej interesie, ryzyko błędnych decyzji operacyjnych rośnie gwałtownie.

Dla przedsiębiorstw oznacza to nie tylko potencjalnie wyższe żądania okupu, ale także osłabienie pozycji negocjacyjnej, większe prawdopodobieństwo zapłaty oraz możliwość powstania wtórnych szkód prawnych i reputacyjnych. W skrajnych przypadkach konsekwencje mogą obejmować także naruszenie obowiązków compliance i problem z oceną odpowiedzialności dostawców usług bezpieczeństwa.

zawyżenie kwoty żądanego okupu,
ujawnienie strategicznych informacji o ofierze,
osłabienie zdolności organizacji do prowadzenia negocjacji,
pogłębienie skutków incydentu poprzez błędne decyzje,
systemowy spadek zaufania do rynku usług reagowania na incydenty.

Dla branży cyberbezpieczeństwa jest to sygnał, że insider threat w firmach IR, DFIR, MDR oraz w podmiotach negocjujących z grupami ransomware powinien być traktowany jako ryzyko pierwszego rzędu. Samo zabezpieczenie technologiczne nie wystarczy, jeśli zawodzi kontrola dostępu do danych i nadzór nad personelem uprzywilejowanym.

Rekomendacje

Organizacje korzystające z usług reagowania na incydenty powinny rozszerzyć proces due diligence dostawców o obszar ryzyka wewnętrznego. Należy oceniać nie tylko kompetencje techniczne partnera, lecz także jego procedury kontroli dostępu, separacji obowiązków i monitorowania działań personelu.

wdrożenie ścisłej separacji ról między negocjacjami, analizą techniczną i obsługą klienta,
rejestrowanie dostępu do dokumentacji negocjacyjnej oraz danych ubezpieczeniowych,
stosowanie zasady najmniejszych uprawnień,
prowadzenie regularnych audytów działań uprzywilejowanych,
ustanowienie procedur zgłaszania konfliktu interesów i nieprawidłowości,
weryfikacja personelu oraz monitoring nadużyć insider threat.

Po stronie klientów równie ważne jest ograniczenie zakresu informacji przekazywanych partnerom zewnętrznym do minimum niezbędnego operacyjnie. Dane o limitach polis, budżetach kryzysowych czy maksymalnych akceptowalnych płatnościach powinny trafiać wyłącznie do osób, które faktycznie muszą je znać.

Dodatkowo warto utrzymywać niezależną walidację rekomendacji negocjacyjnych, rozdzielać role doradcze od decyzyjnych, zapewnić własny nadzór prawny i compliance nad procesem oraz logować wymianę informacji z dostawcami. Przydatne są także playbooki obejmujące scenariusz podejrzenia nadużycia po stronie partnera świadczącego usługi cyberbezpieczeństwa.

Podsumowanie

Przyznanie się Angelo Martino do współpracy z operatorami BlackCat/ALPHV jest ważnym sygnałem ostrzegawczym dla całej branży. Incydenty ransomware nie są już wyłącznie problemem technicznym związanym z malware, dostępem początkowym czy eksfiltracją danych, lecz coraz częściej obejmują także nadużycie zaufania i wykorzystanie informacji biznesowych do zwiększania skuteczności wymuszeń.

Dla organizacji oznacza to konieczność traktowania partnerów wspierających obsługę incydentów jako krytycznego elementu łańcucha bezpieczeństwa. Skuteczna ochrona przed ransomware powinna obejmować nie tylko kopie zapasowe, segmentację, EDR i zarządzanie podatnościami, ale również kontrolę dostępu do danych negocjacyjnych, nadzór nad dostawcami oraz gotowość na scenariusz zagrożenia pochodzącego z wnętrza procesu pomocy ofierze.