司法省は、インシデント対応者がサイバー攻撃を実行し、同じ被害者との交渉においてランサムウェアギャングがより高い身代金を獲得するのを支援したと主張しています。
Angelo Martinoは火曜日にU.S. Marshalsに身を引き渡し、同日保釈されました。釈放の条件として、サイバー業界での仕事を行わないことに同意しています。
裁判所の書類で、検察はMartinoが他の2人のサイバーセキュリティ専門家と協力して、現在は廃止されたALPHV/BlackCatサイバー犯罪グループのためにランサムウェア攻撃を実行したと述べています。
他の2人のRyan GoldbergとKevin Martinはそれぞれ、12月に恐喝による商取引妨害共謀罪で有罪を認め、最大20年の懲役に直面しており、量刑は4月30日に予定されています。
Martino、Goldberg、およびMartinはフロリダ医療会社への攻撃から約120万ドルを獲得しましたが、他の9人の被害者から恐喝することに失敗しました。
Goldbergはインシデント対応企業Sygniaで働いており、MartinとMartinoはDigitalMintのランサムウェア交渉者でした。検察はGoldbergとMartinの起訴中に、彼らが追及している第3者がいることをほのめかしていました。
今週公開された裁判所の書類は、Martinoが他の2人の男性と少なくとも10のランサムウェア攻撃を実行しただけでなく、DigitalMintの従業員として支援を割り当てられた被害者をALPHV/BlackCatサイバー犯罪グループが恐喝するのを支援するまでに至ったと非難しています。
2023年4月から、Martinoは交渉者として働きながら、ランサムウェア交渉に関する機密情報をALPHV/BlackCat関係者に提供しました。
検察は、Martinoがランサムウェア交渉者として働いていたものの「身代金支払いの一部と引き換えに身代金支払いを最大化するために共謀者に指示と機密情報を提供した」2023年の5つの事例を列挙しています。
Martinoが交渉を支援した身代金は大きく、2,600万ドル、2,500万ドル、1,600万ドル、600万ドルに達するものを含んでいます。
検察は、Martinoが提供した情報と引き換えに受け取った身代金の額について述べていません。
Martinoは恐喝による州間商取引妨害共謀罪1件で起訴されました。司法省はこの事件についてのコメント要請に応じませんでした。
DigitalMintは声明の中で、Martinoの行為は同社から隠蔽されており、企業ポリシーと倫理基準の両方に違反していたと述べました。同社は彼らの行為を知った時点でMartinoとMartinを解雇しました。DigitalMintはまた、事件の調査において司法省を支援しました。
「DigitalMintはこれらの個人の犯罪行為を非難します。これは明らかに私たちの価値観、倫理基準、および法律に違反しています」と同社は木曜日の声明で述べました。「私たちの企業と業界は、サイバー攻撃の影響を受けている組織をサポートするために存在しており、これは私たちが代表するものと完全に矛盾しています。」
同社は、これらの男性がDigitalMintに参加する前に「ランサムウェア関連の計画への関与に関する既存の関係」を持っていたと主張しました。
DigitalMintは、2025年4月にMartinoに対する司法省の調査について最初に知らされたと述べました。彼らは同日に彼のシステムアクセスを一時停止し、6月に彼を解雇しました。
同社はさらに、事件以来、すべての交渉が監査可能でログに記録可能なクラウドベースプラットフォームで実施されることを義務付ける複数の新たな管理策を導入したと述べました。同社の創業者の1人が今後、すべての交渉を個人的に監督します。DigitalMintのすべての従業員の情報は、監視のためにホームランドセキュリティ省(DHS)に提供されます。
同社は、身代金交渉者の透明性を高め、身代金支払いの基準を確立するため、DHSと協力して脅威アクター交渉者のレジストリを作成していると述べました。
この事件はサイバーセキュリティコミュニティ内で怒りを引き起こしていますが、多くの専門家は身代金交渉者の厄介な役割について長期間にわたり懸念を表明してきました。
The Recordの親会社であるRecorded Futureのランサムウェア専門家兼脅威アナリストのAllan Liskaは、この事件は「私たちの業界にとって良い見方ではない」と述べていますが、DigitalMintは適切に対応したようだと述べています。
「脅威アクターがセキュリティで使用するすべてのレッドチーミングツールにアクセスできるのと同じように、セキュリティ分野の多くの人々は脅威アクターが使用するツールにアクセスできます」とLiskaは述べました。「この業界の少数の人々にとって、それは巨大な誘惑になります。特に、一部のサイバー犯罪者がどの程度の金銭を稼いでいるかを目にしている場合は。」
前の記事なし
新しい記事なし
翻訳元: https://therecord.media/ransomware-blackcat-doj-incident-responder
