Трое бывших специалистов по расследованию инцидентов и переговорам с вымогателями, работавшие ранее в DigitalMint и Sygnia, обвиняются Министерством юстиции США во взломе сетей пяти американских компаний и участии в вымогательской схеме, связанной с шифровальщиком BlackCat (ALPHV). Следствие утверждает, что фигуранты требовали многомиллионные выкупы в криптовалюте за расшифровку данных и «неразглашение» похищенной информации.
Кого обвиняют и в чем суть дела
Фигуранты и уголовные статьи
Среди обвиняемых — 28‑летний Кевин Тайлер Мартин из Техаса, 33‑летний Райан Клиффорд Голдберг из Джорджии и их неназванный сообщник. Им вменяются: сговор с целью вмешательства в межштатную коммерческую деятельность посредством вымогательства, фактическое вмешательство в коммерческую деятельность и умышленное повреждение защищенных компьютеров. Максимально возможное наказание по совокупности — до 50 лет лишения свободы.
Профессиональный бэкграунд обвиняемых
По данным Chicago Sun-Times, Мартин и неназванный соучастник работали в DigitalMint, где занимались переговорами с вымогателями, а Голдберг возглавлял реагирование на инциденты в Sygnia. Следствие полагает, что они выступали как партнеры схемы BlackCat: проникали в сети, осуществляли кражу данных и разворачивали шифровальщик.
Кого атаковали и какие суммы запрашивали
Согласно судебным документам, жертвами стали: производитель медицинского оборудования из Тампы (Флорида), фармацевтическая компания из Мэриленда, инженерная фирма и медицинская клиника в Калифорнии, а также разработчик дронов из Вирджинии. Запрошенные выкупы варьировались от 300 000 до 10 млн долларов, при этом единственная подтвержденная выплата — $1,27 млн, перечисленная компанией из Тампы после атаки в мае 2023 года.
Контекст: BlackCat/ALPHV и модель RaaS
BlackCat (ALPHV) — одна из наиболее активных вымогательских экосистем последних лет. По данным ФБР, за первые два года партнеры группировки провели свыше 1000 атак и получили не менее $300 млн выкупов. BlackCat работает по модели Ransomware-as-a-Service (RaaS): разработчики предоставляют инфраструктуру и «строительные блоки» атаки, а аффилированные группы (аффилиаты) выполняют проникновение, эксфильтрацию и шифрование, делясь полученными платежами.
Как действуют вымогатели: срез тактики
Хотя детали конкретных техник в этом деле не раскрываются, типичная цепочка для подобных кампаний включает: первичный доступ (фишинг, эксплуатация уязвимостей внешнего периметра), эскалацию привилегий, двойное вымогательство (эксфильтрация данных перед шифрованием) и давление через публичное разглашение. Требования по выплате обычно номинируются в криптовалюте, сроки ограничены, а переговоры ведутся в защищенных каналах.
Риски для бизнеса и практические меры защиты
Дело подчеркивает уязвимость организаций разных отраслей — от медицины до инженерии и аэрокосмоса. Для снижения риска целесообразны меры «гигиены безопасности» и устойчивости к инцидентам: жесткое управление доступами (MFA, принцип наименьших привилегий), сегментация сети и изоляция критичных систем, регулярное патч-менеджмент внешних сервисов, EPP/EDR с мониторингом аномалий, защищенные и регулярно тестируемые резервные копии в офлайн/immutable‑режиме.
Подготовка к инцидентам и переговорные процедуры
Организациям стоит заранее отработать сценарии реагирования: провести tabletop‑учения, определить роли, каналы коммуникации и юридические рамки взаимодействия с правоохранительными органами. Документированные политики по работе с вымогателями и хранению логов, а также готовность к быстрой форензике сокращают время простоя и финансовые потери.
Дело против предполагаемых аффилиатов BlackCat демонстрирует, что криминальные схемы могут привлекать специалистов с отраслевыми знаниями, что усложняет защиту. Усиление технических и организационных мер, дисциплина патчей и отлаженное реагирование — критически важные факторы снижения ущерба. Регулярно пересматривайте планы непрерывности бизнеса и тестируйте восстановление: быстрый возврат к операционной деятельности часто сильнее всего снижает рычаг давления вымогателей.
