Министерство юстиции США (DoJ) объявило о приговоре двум специалистам по кибербезопасности, признанным виновными в содействии атакам вымогательского ПО BlackCat (ALPHV) в 2023 году. Каждый из осуждённых получил по четыре года лишения свободы. Это дело стало показательным примером того, как внутренние угрозы и злоупотребление профессиональными знаниями могут усилить последствия киберпреступлений для бизнеса.
Фигуранты дела и хронология атак BlackCat
По данным Минюста, 40-летний Райан Голдберг (штат Джорджия) и 36-летний Кевин Мартин (штат Техас) участвовали в развертывании вымогательского ПО против нескольких организаций на территории США в период с апреля по декабрь 2023 года. Они действовали в сговоре с 41‑летним Анджело Мартино (штат Флорида), который ранее также признал свою вину и ожидает вынесения приговора в июле 2026 года.
Все трое заключили соглашение с администраторами ALPHV/BlackCat, согласно которому они передавали операторам платформы 20% от полученных выкупов в обмен на доступ к вымогательскому ПО и инфраструктуре для шантажа жертв — так называемой «панели вымогателя», где ведётся переписка с пострадавшими и управление утечкой данных.
По информации DoJ, в одном из эпизодов им удалось добиться выплаты около 1,2 млн долларов в биткоинах. Из этой суммы их доля составляла 80%, которые участники распределили между собой и впоследствии отмывали через цепочку транзакций, пытаясь скрыть происхождение средств.
Как работает BlackCat: модель ransomware-as-a-service (RaaS)
BlackCat (ALPHV) — одна из наиболее известных группировок, использовавших модель ransomware-as-a-service (RaaS). В такой схеме ядро преступной организации предоставляет партнёрам («аффилиатам») готовое вымогательское ПО, инфраструктуру для управления атаками, а также сервисы по приёму и распределению криптовалютных платежей. Взамен аффилиаты отдают операторам процент с каждого успешно полученного выкупа.
Хотя, по данным правоохранительных органов, изначальная RaaS-схема BlackCat больше не функционирует, группировка успела атаковать сети более чем 1000 организаций по всему миру. В их числе — компании из финансового сектора, здравоохранения, промышленности и критической инфраструктуры. Такой масштаб характерен для современных вымогательских кампаний: по отраслевым отчётам (включая Verizon DBIR и исследования крупных вендоров безопасности), ransomware стабильно входит в число ключевых угроз для бизнеса.
Злоупотребление профессиональными компетенциями и роль инсайдеров
Особенность данного дела заключается в том, что все трое осуждённых являлись профессионалами в области кибербезопасности. По данным обвинения, Мартино и Мартин работали в компании DigitalMint, занимающейся криптовалютными услугами, а Голдберг занимал позицию менеджера по реагированию на инциденты в кибербезопасностной фирме Sygnia.
Имея доступ к специализированным знаниям и инструментам, они, по сути, «перевернули» свою компетенцию: вместо защиты инфраструктуры использовали её для атаки. Как подчеркнул прокурор Южного округа Флориды Джейсон А. Рединг Киньонес, злоумышленники применяли свои навыки не для предотвращения ущерба, а для того, чтобы «блокировать критически важные системы, похищать конфиденциальные данные и вынуждать американские компании платить за восстановление доступа к собственной информации».
Отдельный эпизод связан с ролью Анджело Мартино как переговорщика по инцидентам вымогательского ПО. По данным следствия, он использовал доступ к конфиденциальной информации о лимитах страхового покрытия киберрисков своих клиентов и передавал эти данные операторам BlackCat. Это позволяло вымогателям устанавливать заведомо более высокие суммы выкупа, ориентируясь на то, сколько страховая компания потенциально готовы выплатить.
Последствия для отрасли и уроки для компаний
Дело BlackCat демонстрирует, насколько опасным может быть сочетание профессиональной экспертизы и злонамеренных намерений. Для организаций это подчёркивает необходимость смотреть на кибербезопасность не только как на набор технических средств, но и как на систему управления рисками, где важно учитывать человеческий фактор и угрозы со стороны инсайдеров.
Среди ключевых выводов для бизнеса можно выделить несколько направлений:
1. Усиление проверки и мониторинга критически важных сотрудников. Компании, особенно в сфере финансов, ИБ и управляемых услуг (MSSP, провайдеры реагирования на инциденты), должны внедрять тщательные процедуры background-check, периодическую переоценку доверия и мониторинг действий сотрудников с расширенными правами доступа.
2. Принципы минимально необходимого доступа (least privilege). Даже специалисты по безопасности не должны иметь чрезмерно широкие полномочия без прозрачной системы журналирования, разделения ролей и регулярного аудита их активности.
3. Контроль за процессами переговоров с вымогателями. Если компания привлекает внешних переговорщиков или брокеров по киберстрахованию, необходимо юридически и технически ограничивать доступ к чувствительной информации (например, лимиты страхового покрытия, внутренние резервы, данные о резилиентности инфраструктуры).
Практические шаги по защите от ransomware и внутренних угроз
В контексте продолжающейся активности вымогательских группировок компаниям рекомендуется:
— выстраивать многоуровневую защиту (backup, сегментация сети, многофакторная аутентификация, EDR/XDR-системы);
— регулярно проводить учения по реагированию на инциденты и тестирование планов бизнес‑континуитета;
— внедрять обучение сотрудников по распознаванию фишинга и признаков вымогательских атак;
— обеспечивать независимый аудит поставщиков услуг кибербезопасности и криптовалютных операторов, которые участвуют в реагировании и возможных выплатах.
История с приговором специалистам, сотрудничавшим с BlackCat, наглядно показывает, что даже опытные профессионалы могут стать источником угрозы, если отсутствуют надёжные механизмы контроля и этические стандарты поведения. Компании, полагающиеся на внешних и внутренних экспертов по кибербезопасности, должны пересмотреть свои процессы доверия, мониторинга и управления рисками, чтобы снизить вероятность подобных злоупотреблений и повысить устойчивость к атакам вымогательского ПО.
