RansomwareCyberkriminalitätHackerangriffe

Insider-Bedrohung aus den eigenen Reihen: Cybersicherheits-Profi kollaborierte mit BlackCat-Ransomware-Bande

Insider-Bedrohung aus den eigenen Reihen: Cybersicherheits-Profi kollaborierte mit BlackCat-Ransomware-Bande
Zusammenfassung

Ein ehemaliger Ransomware-Verhandler wurde diese Woche schuldig gesprochen, mit der Cyberkriminellen-Gruppe BlackCat/ALPHV an Ransomware-Angriffen auf US-amerikanische Unternehmen im Jahr 2023 konspiriert zu haben. Angelo Martino, ein 41-jähriger aus Florida, missbrauchte seine Position bei einer US-Cybersicherheitsfirma, um der Hacktergruppe vertrauliche Verhandlungsinformationen seiner Klienten weiterzugeben – einschließlich deren Versicherungsgrenzen und Verhandlungsstrategien. Dies ermöglichte BlackCat, die Lösegeldfordernungen zu maximieren. Gemeinsam mit zwei weiteren Cybersicherheitsprofis beutete Martino mehrere US-Unternehmen aus und verdiente sich einen Anteil von etwa 1,2 Millionen Dollar in Bitcoin, die er anschließend wusch. Der Fall zeigt ein kritisches Sicherheitsrisiko in der Incident-Response-Branche auf: Interne Verräter mit privilegiertem Zugang stellen eine erhebliche Gefahr dar. Für deutsche Unternehmen und Behörden ist dies ein warnendes Beispiel, dass auch spezialisierte Sicherheitsfirmen eine Schwachstelle darstellen können. Experten empfehlen strikte Trennungen zwischen Verhandlungs-, Reaktions- und Zahlungsprozessen sowie das Prinzip der minimalen Rechtegewährung, um solche Insider-Threats zu verhindern.

Angelo Martino nutzte seine Position bei einer Cyber-Incident-Response-Firma schamlos aus. Ab April 2023 versorgte er Mitglieder der BlackCat/ALPHV-Gruppe mit hochsensiblen, vertraulichen Informationen über die Verhandlungspositionen und -strategien seiner Mandanten – ohne deren oder seines Arbeitgebers Wissen oder Genehmigung. Diese Informationen waren für die Erpresser Gold wert: Versicherungspolicen-Limits und interne Verhandlungspositionen halfen BlackCat, die Lösegeldforderungen zu maximieren. Für diese Kollaboration zahlte die Cyberkriminellen-Gruppe Martino.

Doch Martino war nicht allein. Er verschwor sich mit zwei weiteren Cybersicherheits-Profis: Ryan Goldberg aus Georgia und Kevin Martin aus Texas. Gemeinsam setzten sie zwischen April und November 2023 die BlackCat-Ransomware gegen mehrere US-amerikanische Ziele ein. Nach einer erfolgreichen Erpressung, bei der sie etwa 1,2 Millionen US-Dollar in Bitcoin erbeuteten, teilten sich die drei Männer ihre Beute auf – und wuschen das Geld anschließend. Die US-Behörden beschlagnahmten daraufhin etwa 10 Millionen Dollar an Vermögenswerten von Martino, darunter Fahrzeuge und Kryptowährungen.

Martin war bei DigitalMint angestellt, Martino ebenfalls. Goldberg arbeitete für Sygnia. Alle drei bekannten sich des Erpressungsvorwurfs schuldig und riskieren bis zu 20 Jahre Gefängnis. Martino wird am 9. Juli verurteilt, Goldberg und Martin am 30. April.

Fehlende Kontrollmechanismen als Sicherheitsrisiko

Daniel Tobok, CEO des Incident-Response-Unternehmens Cypfer und erfahrener Ransomware-Verhandler, betont gegenüber Dark Reading, dass Martino definitiv zu viel Zugriff auf Finanzdaten und Zahlungsprozesse hatte. „Es sollte eine strikte Trennung zwischen Verhandlung und Zahlungsabwicklung geben”, fordert Tobok. Wenn unterschiedliche Personen für Verhandlungen, Strategie und Preisfestlegung zuständig sind, können sie nicht von ihren Positionen profitieren.

Morey Haber, Chief Security Advisor bei BeyondTrust, warnt vor einer unbequemen Erkenntnis: Auch die eigenen Schützer sollten nicht bedingungslos vertraut werden. „Für Ransomware-Opfer müssen Vertrauen verifiziert, nicht einfach impliziert werden – unabhängig von Unternehmensname oder Titel”, schreibt Haber. Ransomware-Opfer sollten Verhandlung, Response und Forensik in verschiedene Teams aufteilen und das Prinzip der minimalen Berechtigung auch für externe Partner durchsetzen.

Dieser Fall verdeutlicht ein oft übersehenes Risiko in der Cybersicherheitsbranche: Die größte Bedrohung sitzt manchmal am eigenen Schreibtisch.

Ähnliche Artikel