(in)sicurezza digitale Notizie cybersecurity, malware, ransomware e sicurezza dei dati
Home > Articolo > Il negoziatore infedele: come un consulente anti-ransomware ha tradito i suoi clienti per BlackCat
Il negoziatore infedele: come un consulente anti-ransomware ha tradito i suoi clienti per BlackCat

Lo pagavano per salvare le vittime dai ransomware. Invece vendeva le loro strategie di trattativa proprio a chi le stava estorcendo. Il 9 luglio 2026 un tribunale federale della Florida ha condannato Angelo Martino, ex negoziatore per una società di incident response statunitense, a 70 mesi di carcere per aver collaborato dall’interno con la gang BlackCat/ALPHV, passando ai criminali informazioni riservate sulle trattative dei propri clienti e, in un secondo momento, aiutando a distribuire ransomware contro altre vittime. È uno dei casi di insider threat più clamorosi mai emersi nel settore della risposta agli incidenti, e riscrive le regole su chi va fidato quando un’azienda è sotto estorsione.

Il ruolo del negoziatore, capovolto

Nel settore della cyber incident response, il negoziatore è la figura che si siede — metaforicamente — al tavolo con la gang ransomware per conto della vittima: valuta la credibilità della minaccia, verifica le prove dell’esfiltrazione, tratta il prezzo del riscatto e gestisce la comunicazione con l’attaccante attraverso chat cifrate o portali onion dedicati. È un ruolo che richiede accesso diretto alle informazioni più sensibili di un’azienda compromessa: quanto è disposta a pagare, quali dati sono stati davvero rubati, quali sono le sue coperture assicurative, quanto è disperata la situazione. Martino, impiegato presso una società statunitense di incident response il cui nome non è stato reso pubblico negli atti giudiziari, aveva esattamente questo tipo di accesso.

Secondo il Dipartimento di Giustizia USA, a partire dall’aprile 2023 Martino ha iniziato a collaborare con gli operatori di BlackCat/ALPHV — all’epoca una delle ransomware-as-a-service più aggressive al mondo, poi disattivata a inizio 2024 dopo un’operazione internazionale di law enforcement e una successiva, sospetta “exit scam” ai danni degli affiliati. In cambio di un compenso, Martino forniva alla gang informazioni riservate sulla posizione negoziale e sulla strategia dei clienti che stava, formalmente, difendendo: quanto erano disposti a pagare, quali argomentazioni avrebbero usato per abbassare il riscatto, quando stavano per cedere. Con queste informazioni in mano, gli attaccanti potevano calibrare la pressione e massimizzare l’incasso finale, in un conflitto d’interessi totale in cui la vittima pagava — letteralmente — anche lo stipendio di chi la stava tradendo.

Da complice a operatore: il salto di qualità criminale

Il caso non si è fermato alla fuga di informazioni. Gli atti giudiziari descrivono un’evoluzione: Martino ha reclutato Kevin Martin, 36 anni del Texas, assunto come suo collega dopo che la cospirazione era già in corso, e si è coordinato con Ryan Goldberg, 41 anni della Georgia, dipendente di un’altra società di incident response con lo stesso accesso privilegiato alle trattative delle vittime. Insieme, tra aprile e novembre 2023, i tre non si sono limitati a passare informazioni: hanno distribuito attivamente ransomware BlackCat contro nuove vittime statunitensi, diventando a tutti gli effetti affiliati della gang che avrebbero dovuto combattere. Una delle estorsioni portate a termine dal gruppo ha fruttato circa 1,2 milioni di dollari in Bitcoin, spartiti tra i cospiratori.

Le forze dell’ordine hanno sequestrato asset per oltre 10 milioni di dollari riconducibili a Martino: criptovalute, veicoli, un food truck e persino un’imbarcazione da pesca di lusso, tutti acquistati con i proventi dello schema. Un dettaglio che, secondo gli investigatori, è stato decisivo per ricostruire il flusso di denaro e collegare i pagamenti in criptovaluta ricevuti dagli affiliati BlackCat all’account personale di Martino.

Timeline del caso

  • Aprile 2023 — Martino inizia a collaborare con gli operatori BlackCat/ALPHV, passando informazioni riservate sulle trattative dei clienti che sta assistendo.
  • Aprile–novembre 2023 — Martino, Martin e Goldberg distribuiscono attivamente ransomware BlackCat contro nuove vittime negli Stati Uniti; una delle estorsioni frutta circa 1,2 milioni di dollari.
  • 2024 — Le indagini federali portano all’incriminazione dei tre; sequestro di asset per oltre 10 milioni di dollari.
  • 9 luglio 2026 — Angelo Martino viene condannato a 70 mesi di carcere federale; Martin e Goldberg hanno già ricevuto condanne separate in procedimenti collegati.

Perché conta per chi lavora nella risposta agli incidenti

Il caso Martino non è un episodio isolato di corruzione: è un campanello d’allarme strutturale per un intero settore che, negli ultimi anni, si è professionalizzato rapidamente ma spesso senza gli stessi controlli di integrità richiesti in altri ambiti a contatto con informazioni finanziarie sensibili, come la consulenza legale o quella assicurativa. Un negoziatore ransomware ha, per definizione, accesso a tutto ciò che serve a un attaccante per massimizzare il danno: la soglia di dolore economico della vittima, le sue debolezze legali, la tempistica delle sue decisioni. Se quella figura può essere corrotta — o è già collusa fin dall’inizio, come sembra essere il caso qui — l’intero modello di negoziazione assistita si trasforma in un vettore di attacco interno.

Per le aziende che si affidano a società di incident response e negoziatori esterni, alcune contromisure pratiche emergono direttamente da questo caso:

  • Richiedere che le società di IR dichiarino esplicitamente le proprie policy di vetting interno per il personale che gestisce trattative con gruppi ransomware, incluse verifiche periodiche successive all’assunzione.
  • Separare, dove possibile, chi conduce materialmente la trattativa da chi ha visibilità completa sulla soglia di pagamento autorizzata dal cliente e dalla sua assicurazione cyber.
  • Tracciare e loggare ogni comunicazione tra il negoziatore e l’attaccante, con controlli indipendenti (legale esterno, assicuratore) che rivedano a campione le trascrizioni delle chat di negoziazione.
  • Trattare l’accesso alle informazioni di negoziazione — cifre, scadenze, coperture assicurative — con lo stesso livello di compartimentazione riservato ai segreti industriali, non come normale corrispondenza operativa.

Il collasso di BlackCat/ALPHV a inizio 2024, con il probabile exit scam ai danni dei propri affiliati, ha già dimostrato quanto fosse marcio l’ecosistema attorno a quella particolare gang. Il caso Martino aggiunge un tassello inquietante: la marcescenza non riguardava solo il lato criminale dell’equazione, ma si era infiltrata anche in chi, sulla carta, doveva difendere le vittime.

Fonti: comunicato del Dipartimento di Giustizia USA (justice.gov/opa), TechCrunch, The Hacker News, CyberScoop, DataBreaches.net.

Condividi: Twitter  |  Facebook  |  LinkedIn
Unisciti alla discussione

Questo è un blog del Fediverso: puoi trovare questo articolo ovunque con @blog@insicurezzadigitale.com e ogni commento/risposta apparirà qui sotto.

Se vuoi commentare su Il negoziatore infedele: come un consulente anti-ransomware ha tradito i suoi clienti per BlackCat, utilizza la discussione sul Forum.

>> forum community