Nach Darstellung der Staatsanwaltschaft agierten die Beschuldigten als BlackCat-Affiliates: Sie forderten Lösegeld und drohten zugleich damit, aus den Netzwerken der Opfer gestohlene Daten zu veröffentlichen. Für den Zugang zur Ransomware und zum Erpressungsportal sollen sie den BlackCat-Administratoren einen Anteil von 20 Prozent der eingenommenen Lösegelder abgeführt haben.
Zu den Betroffenen zählen den Anklägern zufolge mindestens fünf US-Organisationen. Darunter waren eine gemeinnützige Einrichtung, die 26.793.000 US-Dollar Lösegeld zahlte, sowie ein Finanzdienstleister, der 25.660.000 US-Dollar überwies. Weitere Ziele stammten aus unterschiedlichsten Branchen, etwa medizinische Einrichtungen, Anwaltskanzleien, Schulbezirke und Finanzdienstleister.
DigitalMint-Geschäftsführer Jonathan Solomon verurteilte das Verhalten in einer Stellungnahme gegenüber BleepingComputer. Das Unternehmen habe beide Mitarbeiter entlassen, nachdem es von den Handlungen Martins und Martinos erfahren hatte, und von Beginn der Ermittlungen an uneingeschränkt mit den Strafverfolgungsbehörden kooperiert.
„Wir verurteilen das kriminelle Verhalten dieser ehemaligen Mitarbeiter scharf; es verstieß gegen unsere Werte, unsere ethischen Standards und das Gesetz. Als wir von dem Verhalten erfuhren, haben wir beide Personen umgehend entlassen", erklärte Solomon. DigitalMint habe von Anfang an vollständig mit den Behörden zusammengearbeitet und rechne nicht mit weiteren Anklagen. Keine Organisation könne das Insider-Risiko vollständig ausschließen, doch man nehme solche Vorfälle äußerst ernst und habe Schutzmaßnahmen sowie interne Kontrollen verstärkt, um ähnliches Verhalten künftig unwahrscheinlicher zu machen.
BlackCat war vom FBI zuvor mit mehr als 60 Sicherheitsverletzungen zwischen November 2021 und März 2022 in Verbindung gebracht worden. In einer gesonderten Warnung erklärte die Behörde zudem, die Cybercrime-Gruppe habe bis September 2023 von über 1.000 Opfern mindestens 300 Millionen US-Dollar an Zahlungen eingenommen.
Bereits 2019 hatte ProPublica berichtet, dass einige US-Firmen für Datenwiederherstellung heimlich Lösegeld an Ransomware-Banden zahlten, die deren Kunden unter Druck setzten – und den Kunden zugleich Wiederherstellungsleistungen in Rechnung stellten, ohne diese Zahlungen offenzulegen.
