Ex-negociador de ransomware admite ter traído vítimas e atuado com grupo hacker BlackCat
Um dos episódios mais graves já registrados na área de resposta a incidentes de segurança cibernética ganhou novos contornos nos Estados Unidos. Angelo Martino, que atuava profissionalmente como negociador de ransomware, confessou ter colaborado com o grupo criminoso ALPHV/BlackCat e traído empresas que o contratavam justamente para reduzir os danos de ataques digitais.
Martino trabalhava em uma companhia especializada em resposta a incidentes, identificada nos documentos judiciais como “Company-1” e vinculada à empresa DigitalMint. Sua função oficial era mediar conversas entre organizações vítimas de ransomware e os criminosos, buscando diminuir valores de resgate e proteger ativos críticos. Em vez disso, ele passou a se valer dessa posição privilegiada para alimentar diretamente os hackers com informações estratégicas e sigilosas.
O papel de Martino se encaixava em um ponto extremamente sensível da cadeia de ataque. Depois que as redes das empresas eram comprometidas por ransomware, as vítimas recorriam a especialistas em negociação para tentar recuperar dados e mitigar prejuízos. Nesse momento, o ex-negociador tinha acesso a dados vitais, como o teto de cobertura dos seguros cibernéticos, a real capacidade financeira das vítimas e a disposição interna de cada empresa para pagar a extorsão.
Essas informações eram repassadas ao grupo ALPHV/BlackCat, permitindo que os criminosos calibrassem com precisão as exigências de pagamento. Em vez de “chutar” valores, o grupo passou a atuar sabendo exatamente até onde poderia ir sem perder a chance de receber. Isso aumentou significativamente o valor dos resgates exigidos e aprofundou o impacto econômico dos ataques.
A investigação revelou que Martino não se limitou a vazar informações confidenciais: ele assumiu ter participado diretamente da realização de ataques. Ao lado de outros dois cúmplices, Ryan Goldberg e Kevin Martin, colaborou na implantação de ransomware em várias organizações entre abril e novembro de 2023. Assim, o caso extrapola a figura do “insider informante” e passa a evidenciar envolvimento ativo em toda a operação criminosa.
Os danos financeiros às vítimas foram de grande magnitude. De acordo com os registros judiciais, uma empresa do setor de hospitalidade transferiu cerca de 16,4 milhões de dólares em pagamentos de resgate. Uma organização sem fins lucrativos acabou desembolsando aproximadamente 26,8 milhões de dólares, enquanto uma empresa de serviços financeiros pagou mais de 25,6 milhões de dólares. Outros episódios incluem 6,1 milhões de dólares pagos por uma companhia de varejo e pouco mais de 213 mil dólares por uma instituição da área médica.
Considerando diferentes incidentes, o trio chegou a exigir somas superiores a 16 milhões de dólares apenas nos ataques conduzidos diretamente por eles. Além disso, lucraram adicionalmente em casos nos quais atuavam como “negociadores” ou intermediários, inflando ou orientando valores e condições dos pagamentos. Uma parte expressiva desse dinheiro foi distribuída entre os envolvidos e passou por processos de lavagem para mascarar sua origem criminosa.
As autoridades conseguiram bloquear cerca de 10 milhões de dólares em ativos relacionados a Martino. Entre os bens apreendidos estão criptomoedas, carros de luxo, imóveis e itens inusitados comprados com recursos ilícitos, como um food truck e um barco de pesca. Dois imóveis localizados na Flórida encontram-se em estágio avançado de confisco, reforçando a dimensão patrimonial alcançada pelo esquema.
Esse caso acende um alerta importante para o setor de cibersegurança: o risco interno em empresas que deveriam estar na linha de frente contra ataques. A confiança depositada em equipes de resposta a incidentes é um componente crítico da gestão de crises digitais. Quando um profissional com acesso a sistemas, dados sensíveis e decisões estratégicas desvia de sua função, todo o modelo de proteção e de governança de segurança é colocado em xeque.
Do ponto de vista organizacional, o episódio evidencia que a segurança cibernética não é apenas uma questão de firewalls, antivírus ou soluções de monitoramento. Processos de verificação de antecedentes, segregação de funções, auditorias independentes e políticas rígidas de acesso a informações sensíveis tornam-se tão ou mais importantes quanto as ferramentas técnicas. Empresas que contratam negociadores e consultorias para lidar com incidentes precisam incorporar mecanismos de due diligence contínua e supervisão ativa desses prestadores.
Estratégicamente, o caso também mostra como grupos criminosos estão elevando o grau de sofisticação de suas operações. Ao explorar falhas humanas, assimetrias de informação e brechas em processos de negociação, os hackers ampliam seu poder de barganha e maximizam retorno financeiro. A presença de um insider com acesso privilegiado transforma o jogo: deixa de ser apenas um ataque externo e passa a ser também uma infiltração nas defesas e nas decisões da própria vítima.
O grupo ALPHV/BlackCat, com o qual Martino colaborava, é um dos exemplos mais emblemáticos do modelo de Ransomware-as-a-Service (RaaS). Nessa abordagem, desenvolvedores mantêm a infraestrutura e o código malicioso, enquanto afiliados realizam os ataques. Normalmente, o pagamento de resgates é dividido entre esses atores. O BlackCat ficou conhecido por combinar criptografia de dados com roubo massivo de informações e táticas de dupla extorsão: ameaçar manter os sistemas inacessíveis e, ao mesmo tempo, vazar publicamente dados sensíveis caso o pagamento não seja efetuado.
A introdução de um negociador infiltrado nessa engrenagem aumentou ainda mais a eficiência do grupo. Em ataques convencionais, os criminosos geralmente estimam o tamanho da vítima e sua capacidade de pagamento a partir de informações públicas. Com Martino, eles passaram a conhecer o limite dos seguros, a postura da diretoria em relação a negociações e até quais argumentos eram discutidos internamente para tentar reduzir o valor. Isso elimina incertezas e permite extorsões mais agressivas e precisas.
Martino aguarda a sentença, prevista para julho, enquanto seus coacusados devem ser julgados ainda em abril. Todos enfrentam acusações que podem resultar em penas de até 20 anos de prisão. O desfecho do caso deve servir como referência para futuros processos envolvendo profissionais de segurança que cruzam a linha entre defesa e crime, além de orientar novas regulamentações e práticas do setor.
Para empresas e gestores, o episódio deixa aprendizados concretos. Em primeiro lugar, é fundamental tratar fornecedores de resposta a incidentes como parte da superfície de risco. Isso implica conduzir avaliações periódicas de compliance, checar histórico de atuação, exigir transparência contratual e estabelecer cláusulas que facilitem auditorias e investigações internas em caso de suspeita. A dependência cega de um único consultor ou equipe externa concentra poder e aumenta a exposição.
Outro ponto essencial é reduzir o número de pessoas com acesso integral a informações críticas de negociação, como limites de seguros cibernéticos e critérios internos para decisões de pagamento. Modelos de “need to know” e “least privilege” – em que cada profissional tem acesso apenas ao estritamente necessário para cumprir seu papel – são aplicáveis também à esfera da gestão de crises, e não apenas à administração de sistemas.
Programas de conscientização e cultura de ética em cibersegurança também ganham relevância. Profissionais da área lidam rotineiramente com dados valiosos e situações de grande pressão. Sem uma base sólida de princípios, supervisão adequada e canais seguros para denúncias, casos de corrupção interna podem permanecer ocultos por longos períodos, como aconteceu no esquema liderado por Martino.
Do lado das seguradoras e dos responsáveis por apólices de cyber insurance, o caso indica a necessidade de revisar a forma como informações de cobertura são compartilhadas durante incidentes. Estratégias como limitar o detalhamento fornecido a intermediários, utilizar equipes jurídicas especializadas e criar protocolos padronizados para comunicação com negociadores podem reduzir a exposição a atores mal-intencionados.
Por fim, o episódio ilustra que o debate sobre pagamento de resgate em ataques de ransomware se torna ainda mais complexo quando há intermediários corruptos. Enquanto algumas organizações defendem o não pagamento em qualquer circunstância, outras, pressionadas por impacto operacional ou risco à vida (como no caso de hospitais), optam por negociar. Quando o negociador está alinhado aos criminosos, a empresa não apenas perde dinheiro, como ainda fortalece o próprio ecossistema que a ameaça.
O caso de Angelo Martino, embora extremo, funciona como um aviso para todo o mercado: a defesa contra ransomware não termina na porta do data center. Ela passa pela escolha rigorosa de parceiros, pelo controle sobre quem sabe o quê dentro da organização e pela construção de um ambiente em que a confiança seja apoiada por verificações constantes e por mecanismos reais de responsabilização.