Міністерство юстиції США оголосило вироки двом фахівцям з кібербезпеки, які сприяли атакам вимагального ПЗ BlackCat (ALPHV) протягом 2023 року. Кожен із них отримав по чотири роки позбавлення волі. Ця справа стала показовим кейсом того, як внутрішні загрози та зловживання професійними знаннями здатні багаторазово посилити наслідки кібератак для бізнесу.
Вироки Мін’юсту США: хто такі Голдберг, Мартін і Мартино
За даними Мін’юсту, 40‑річний Райан Голдберг (штат Джорджія) та 36‑річний Кевін Мартін (штат Техас) брали участь у розгортанні ransomware‑атак проти кількох організацій у США з квітня по грудень 2023 року. Вони діяли у змові з 41‑річним Анджело Мартино (штат Флорида), який раніше визнав провину та очікує на вирок у липні 2026 року.
Усі троє виступали як «аффіліати» BlackCat: згідно з угодою з адміністраторами ALPHV/BlackCat, вони передавали операторам платформи 20% від отриманих викупів в обмін на доступ до шкідливого ПЗ, інфраструктури для шантажу та так званої «панелі вимагачів» – системи керування витоками даних і комунікацією з жертвами.
В одному з епізодів зловмисники домоглися виплати близько 1,2 млн доларів у біткоїнах. З цієї суми їхня частка становила 80%, яку вони поділили між собою та намагалися відмити через ланцюжок криптовалютних транзакцій, приховуючи походження коштів.
BlackCat як ransomware-as-a-service: як працює кримінальна «екосистема» RaaS
BlackCat (ALPHV) – одна з найвідоміших груп, що використовувала модель ransomware-as-a-service (RaaS). У цій схемі ядро злочинної організації розробляє та підтримує вимагальне ПЗ, хостить інфраструктуру для атак, забезпечує прийом та розподіл криптовалютних платежів, а також надає партнерам технічну підтримку.
Партнери‑«аффіліати» виконують основну «польову» роботу: компрометують мережі, викрадають дані, шифрують системи та ведуть переговори з жертвами. В обмін вони віддають операторам RaaS певний відсоток від кожного успішного викупу. Така фрагментація ролей перетворює ransomware на масштабовану «послугу», доступну навіть тим, хто не має глибоких технічних навичок.
Хоча, за даними правоохоронних органів, первинна RaaS‑платформа BlackCat нині неактивна, угруповання встигло атакувати мережі понад 1000 організацій по всьому світу. Серед постраждалих – фінансові установи, лікарні, промислові підприємства та об’єкти критичної інфраструктури. За звітами на кшталт Verizon Data Breach Investigations Report та досліджень провідних вендорів безпеки, ransomware стабільно входить до переліку найсерйозніших загроз для корпоративного сектору.
Чому RaaS робить атаки ransomware настільки масовими
Модель RaaS знижує «вхідний поріг» до кіберзлочинності: роль розробника, оператора інфраструктури та атакувального підрозділу розділяється між різними акторами. Це дозволяє:
— масштабувати атаки завдяки залученню великої кількості аффіліатів;
— пришвидшувати еволюцію шкідливого ПЗ, оскільки розробники фокусуються лише на технічному вдосконаленні;
— ускладнювати розслідування, бо ланцюги відповідальності розпорошені між багатьма учасниками в різних юрисдикціях.
Інсайдери в кібербезпеці: коли експерти перетворюються на загрозу
Ключова особливість цієї справи – те, що усі троє засуджених були професійними фахівцями з кібербезпеки та фінансових технологій. За даними слідства, Мартино та Мартін працювали в криптовалютній компанії DigitalMint, а Голдберг обіймав посаду менеджера з реагування на інциденти в кібербезпековій фірмі Sygnia.
Маючи доступ до спеціалізованих інструментів та практичного досвіду, вони фактично «перевернули» свою компетенцію: замість захисту інфраструктури використали її вразливі місця для нападів. Як наголосив прокурор Південного округу Флориди Джейсон А. Редінг Кіньйонес, вони застосували свої навички не для мінімізації шкоди, а для того, щоб блокувати критичні системи, викрадати конфіденційні дані та змушувати компанії платити за доступ до власної інформації.
Зловживання даними кіберстрахування під час переговорів із вимагачами
Окремий епізод стосується ролі Анджело Мартино як переговорника з інцидентів ransomware. Виконуючи функції посередника між жертвами та кіберзлочинцями, він мав доступ до конфіденційної інформації про ліміти покриття кіберстрахування своїх клієнтів.
За версією обвинувачення, Мартино передавав ці відомості операторам BlackCat. Це дозволяло вимагачам встановлювати завідомо завищені суми викупу, орієнтуючись на те, скільки страхова компанія потенційно готова відшкодувати. Фактично, дані, які повинні допомагати бізнесу відновлюватися після інцидентів, були використані для максимізації прибутку злочинців.
Уроки для бізнесу: як знизити ризики внутрішніх загроз і атак ransomware
1. Посилена перевірка та моніторинг привілейованих співробітників. Організаціям, особливо у фінансовій сфері, секторі ІБ та керованих послуг (MSSP, провайдери реагування на інциденти), варто впроваджувати глибокі background-check, періодичну переоцінку довіри та безперервний моніторинг дій працівників із розширеними правами доступу.
2. Принцип мінімально необхідних прав (least privilege). Навіть експерти з кібербезпеки не повинні мати надмірних повноважень без прозорої системи журналювання, розподілу ролей та регулярного аудиту їхньої активності.
3. Контроль процесу переговорів із вимагачами. За залучення зовнішніх переговорників, брокерів з кіберстрахування або криптовалютних операторів слід чітко обмежувати їхній доступ до чутливої інформації (ліміти страхування, розміри резервів, рівень стійкості інфраструктури) як юридично, так і технічно.
4. Багаторівневий технічний захист. Для протидії ransomware необхідні регулярні офлайн‑резервні копії, сегментація мережі, багатофакторна автентифікація, сучасні EDR/XDR‑рішення, а також перевірені плани реагування на інциденти та безперервності бізнесу.
5. Навчання персоналу та аудит постачальників. Системні тренінги з розпізнавання фішингу та ознак атак, а також незалежний аудит провайдерів кібербезпеки й криптовалютних сервісів допомагають виявляти слабкі ланки до того, як ними скористаються зловмисники.
Історія з вироками у справі BlackCat чітко демонструє: навіть досвідчені фахівці можуть стати джерелом критичного ризику, якщо відсутні надійні механізми контролю, розподілу повноважень і зрозумілі етичні стандарти. Компаніям варто вже зараз переглянути моделі довіри до внутрішніх та зовнішніх експертів, посилити моніторинг привілейованого доступу й інвестувати у стратегії протидії ransomware, аби зменшити вразливість до подібних зловживань та захистити свою цифрову стійкість у довгостроковій перспективі.
