Il Dipartimento di Giustizia degli Stati Uniti incriminato Kevin Tyler Martin, un dipendente di DigitalMint, e un anonimo ex dipendente di DigitalMint il mese scorso con tre capi di imputazione di pirateria informatica ed estorsione. I pubblici ministeri hanno accusato loro e Ryan Clifford Goldberg, un ex responsabile della risposta agli incidenti di Sygnia, di aver condotto attacchi ransomware contro almeno cinque società statunitensi hackerando sistemi, rubando dati sensibili e distribuendo malware dal gruppo ALPHV/BlackCat. Martin e l’individuo senza nome hanno lavorato come negoziatori di ransomware presso DigitalMint, una società di sicurezza informatica che assiste le vittime nella negoziazione dei pagamenti agli hacker. Goldberg ha prestato servizio nella risposta agli incidenti presso Sygnia, un’altra società di sicurezza informatica. Le accuse derivano da uno schema secondo il quale questi individui si sarebbero ribellati al loro ruolo professionale per perpetrare essi stessi gli attacchi. Hanno preso di mira le reti aziendali per infiltrarsi ed estrarre informazioni riservate, quindi hanno crittografato i dati utilizzando strumenti ransomware forniti da ALPHV/BlackCat. Il gruppo ALPHV/BlackCat funziona attraverso un modello ransomware-as-a-service. In questo modo, la banda crea il malware di crittografia dei file progettato per rubare e confondere i dati delle vittime. Gli affiliati, comprese le persone incriminate, eseguono le intrusioni e installano il ransomware sui sistemi interessati. Una volta pagato il riscatto, la cosca incassa una parte del ricavato, distribuendo il resto agli affiliati che hanno compiuto le operazioni. Una dichiarazione giurata dell’FBI presentato in September specifica che gli autori del reato hanno ottenuto più di 1,2 milioni di dollari in riscatto da una singola vittima, identificata come un produttore di dispositivi medici con sede in Florida. Questo pagamento è il risultato del successo dell’implementazione del ransomware, che ha bloccato l’accesso ai dati critici fino al trasferimento del riscatto. Nella dichiarazione giurata vengono delineati i metodi tecnici utilizzati, compreso l’accesso non autorizzato ai server dell’azienda e la successiva esfiltrazione dei dati prima della crittografia. Ulteriori obiettivi includevano un produttore di droni con sede in Virginia e un’azienda farmaceutica con sede nel Maryland. Questi attacchi hanno seguito uno schema simile, prevedendo la penetrazione iniziale della rete, il furto di dati e l’implementazione di ransomware. L’azienda della Virginia è specializzata in veicoli aerei senza pilota per vari settori, mentre l’azienda del Maryland sviluppa farmaci e conduce operazioni di ricerca. Il piano ha interessato almeno altre tre società con sede negli Stati Uniti, anche se i dettagli specifici su queste rimangono non divulgati nei documenti pubblici. Inizialmente il Chicago Sun-Times segnalato l’accusa di domenica, attirando l’attenzione del pubblico sul caso. Questa segnalazione ha richiesto ulteriori informazioni da parte delle società coinvolte. L’amministratore delegato di Sygnia, Guy Segal, ha confermato a TechCrunch che Goldberg era un dipendente ed è stato licenziato dopo che la società ha appreso del suo presunto coinvolgimento con gli attacchi ransomware. Segal ha dichiarato che Sygnia ha rifiutato di commentare ulteriormente a causa delle indagini in corso dell’FBI sulla questione. Il presidente di DigitalMint, Marc Grens, ha dichiarato a TechCrunch che Martin era impiegato al momento dei presunti attacchi hacker, ma agiva completamente al di fuori dell’ambito del suo impiego. Grens ha anche confermato che l’individuo senza nome potrebbe essere un ex dipendente. Ha aggiunto che DigitalMint sta collaborando con le indagini del governo, fornendo informazioni pertinenti e accesso come richiesto dalle autorità.
