本来、ランサムウェア交渉人は被害組織が支払う金額を抑える役割を担うはずです。しかしAngelo Martino容疑者はその逆を行いました。各顧客がいくらまで支払う意思があるかを、密かに攻撃者側に伝えていたのです。彼はすべての身代金から取り分を得ていました。やがて自らBlackCatランサムウェアを使った攻撃にも手を染めるようになります。フロリダ州の裁判所は41歳のこの人物に禁錮70か月の判決を言い渡しました。
DigitalMintでのMartino容疑者の役割
Martino容疑者は、サイバー攻撃を受けた組織を支援し身代金交渉を主導する企業DigitalMintに勤務していました。彼の仕事は顧客に有利な条件を引き出し、可能な限り最終的な支払額を抑えることでした。案件ごとに、Martino容疑者には攻撃に関する詳細な情報が提供されていました。そこには最初の要求額、顧客の保険適用範囲、被害者側の内部交渉戦略まで含まれていました。
こうした機密情報により、Martino容疑者は各顧客の限界点を正確に把握できる立場にありました。保険で支払える上限額を正確に知っていましたし、各企業がどれほど切迫してシステム復旧を求めているかも理解していました。経営陣が提示しうる最大の申し出額まで見えていたのです。しかし彼はその知識を顧客保護のために使うのではなく、BlackCat(別名ALPHV)のメンバーに直接横流ししていました。
秘密の連絡経路
2023年4月以降、Martino容疑者はTox通信プラットフォームを通じてBlackCatの担当者とやり取りしていました。さらにBlackCatの交渉パネル内にある専用チャンネルも利用していました。このチャンネルはMartino容疑者本人、ランサムウェアグループの交渉担当者、そして実際に攻撃を行うアフィリエイトのみが閲覧できるものでした。彼の雇用主や被害組織側はこのやり取りに一切アクセスできませんでした。
Martino容疑者は保険の上限額や、顧客側の内部交渉方針を漏らしていました。この情報を武器に、ランサムウェア運営者側はより高額な要求を突きつけ、粘り強く交渉を引き延ばすことができました。被害者側の上限額があらかじめ分かっていれば、少額での妥協に応じる理由はなくなります。攻撃者はただ最大額が提示されるのを待てばよいだけになるのです。
顧客が支払った総額は7,500万ドル超
この情報提供の見返りとして、Martino容疑者は各身代金支払いから暗号資産で分け前を受け取っていました。裁判記録によれば、DigitalMintの顧客5社がこの共謀グループのメンバーに支払った総額は7,500万ドルを超えるとされています。個々の支払額は約21万3,000ドルから2,680万ドルの範囲に及びました。捜査当局は、この内部情報が要求額を数百万ドル単位で吊り上げる一因になったとみています。
被害者にはホテル企業、非営利団体、金融会社、小売業者、医療機関が含まれていました。業務の停止により、これらの企業は顧客対応にも支障をきたしました。特に金融部門と医療部門で最も深刻な影響が出ました。
Martino容疑者、不正収益を不動産や車両に費消
この一連の犯行によりMartino容疑者は暗号資産で数百万ドルを手にしていました。FBIは彼のデジタル資産の一部を押収しましたが、それ以前に多額をすでに使い果たしていました。その資金でフロリダ州内に住宅2軒、ボート1隻、複数の車両を購入していました。
内部情報提供者から実行犯へ
BlackCatへの密告を始めてから約1か月後、Martino容疑者は直接攻撃にも関与するようになります。2023年5月、彼は同グループのプラットフォーム内でアフィリエイトアカウントを取得しました。このアクセス権により、彼とその仲間はBlackCatのランサムウェア、交渉パネル、インフラを使って被害者に圧力をかけられるようになりました。
Martino容疑者はこのアカウントを2人の共犯者と共有していました。DigitalMintの別の交渉担当者であるKevin Martin容疑者と、Sygniaのインシデント対応専門家であるRyan Goldberg容疑者がこの計画に加わりました。3人とも元々サイバーセキュリティ業界の出身で、組織が感染にどう対応するかを熟知していました。
BlackCatのアフィリエイト方式では、外部の犯罪者が同グループの既製インフラを使って攻撃を実行できる仕組みになっていました。管理者側はマルウェア、リークサイト、被害者とのチャットシステム、支払い処理を維持・運営していました。アフィリエイト側は標的を選定し、ネットワークに侵入してデータを窃取し、暗号化を実行する役割でした。標準的な取り決めでは、管理者側が各身代金の20パーセントを取得することになっていました。
さらに5件の被害、支払いは1件のみ
Martino容疑者、Martin容疑者、Goldberg容疑者の3人は、さらに5つの組織を攻撃しました。うち4社は支払いを拒否しましたが、それでもダウンタイムやシステム復旧、修復作業による損害を被りました。医療機器メーカー1社が120万ドルの支払いに応じています。この支払い金は3人とBlackCatの管理者側で分配されました。
BlackCatは企業ネットワーク上のファイルを暗号化する前にデータを窃取していました。被害者側は、復号キーの提供と窃取したデータを公開しないという約束の両方を求められる形で要求を突きつけられていました。この二重恐喝の圧力により、オフラインバックアップを保有していた組織でさえ支払いに応じざるを得ない状況に追い込まれていました。
Change Healthcareを含むBlackCatの被害の広がり
同グループは数百の組織を攻撃してきました。中でも最も深刻な被害をもたらした事件の一つが、2024年2月に発生したChange Healthcareの決済ネットワークへの侵害です。この事件による障害により、米国の医療業界全体で決済処理や保険金請求処理が混乱しました。医療機関は数週間にわたり払い戻し処理ができない状態に陥りました。
法執行機関は2023年、BlackCatのインフラに対する作戦を実施しました。捜査当局は同グループのシステムへのアクセス権を取得し、復号ツールを開発して被害者のデータ復旧を支援しました。当局は同グループの複数のウェブサイトも押収しています。米当局は現在もBlackCatの管理者およびアフィリエイトに関する情報提供に対し、最大1,000万ドルの報奨金を提示しています。
判決と司法への協力
Kevin Martin容疑者とRyan Goldberg容疑者に対する起訴は、当局が3人目の共謀者の実名を公表する前に発表されていました。2026年4月、裁判所は両名にそれぞれ禁錮4年の判決を言い渡しました。Martino容疑者は罪を認め、共犯者に対する立証を支援するため捜査に協力しました。
弁護側はMartino容疑者の協力を理由に禁錮2年を求めていました。一方、検察側はより重い量刑を求めていました。量刑ガイドラインでは70か月から87か月の範囲が推奨されており、裁判所はその範囲内での最短期間を科しました。
Martino容疑者は、州際通商に影響を及ぼす恐喝の共謀罪で有罪となりました。この罪状の最高刑は20年です。禁錮70か月の刑に加え、彼は犯罪収益で購入した資産の没収も命じられました。出所後は、被害者への賠償として収入の10パーセントを納めることになります。
DigitalMintとSygniaの対応
DigitalMintは、経営陣は従業員による犯罪行為を認識していなかったと述べています。同社は司法省から情報提供を受けた後、関与した従業員を解雇し、捜査に全面的に協力しました。DigitalMintによれば、Martino容疑者は社内の管理体制をかいくぐり、雇用主がアクセスできない秘密の連絡経路を利用していたとのことです。
Sygniaも同様に、捜査の事実を把握した後にGoldberg容疑者を解雇しました。同社は捜査対象として名指しされることはなく、FBIに関連情報を提供しています。
翻訳元: https://meterpreter.org/ransomware-negotiator-blackcat-sentenced/