RansomwareCyberkriminalitätHackerangriffe

Insider-Skandal: Incident Responder half Ransomware-Gang bei Erpressung

Insider-Skandal: Incident Responder half Ransomware-Gang bei Erpressung
Zusammenfassung

Ein schwerwiegender Fall von Korruption innerhalb der Cybersicherheitsbranche hat sich in den USA offenbart: Ein Mitarbeiter des Incident-Response-Unternehmens DigitalMint soll Ransomware-Anschläge durchgeführt und gleichzeitig Kriminellen der BlackCat-Gruppe geholfen haben, höhere Lösegelder von seinen eigenen Klienten zu erpressen. Angelo Martino wird beschuldigt, als Ransomware-Verhandler tätig zu sein und dabei vertrauliche Informationen über Verhandlungen an die Cyberkriminellen weitergegeben zu haben, um die Lösegeldforderungen zu maximieren. Zusammen mit zwei weiteren Sicherheitsfachleuten soll er mindestens zehn Anschläge durchgeführt haben, wobei Lösegelder im zweistelligen Millionenbereich verhandelt wurden. Für deutsche Unternehmen und Behörden ist dieser Fall von erheblicher Bedeutung: Er zeigt, dass die Bedrohung durch Ransomware nicht nur von außen kommt, sondern auch von vertrauenswürdigen Partnern innerhalb der Sicherheitsindustrie ausgehen kann. Dies unterstreicht die Notwendigkeit strenger Kontrollen, umfassender Überprüfungen von Sicherheitsdienstleistern und einer kritischen Bewertung bei der Auswahl von Incident-Response-Partnern.

Angelo Martino hatte sich dem US-Marshals-Service gestellt und wurde noch am selben Tag gegen Kautionen freigelebt – unter der Bedingung, alle Tätigkeiten in der Cyberbranche zu unterlassen. Die Anklage wirft ihm vor, zwischen April 2023 und 2024 mindestens zehn Ransomware-Anschläge in Zusammenarbeit mit der inzwischen aufgelösten ALPHV/BlackCat-Gruppe durchgeführt zu haben.

Das Besonders Perfide: Während Martino als Ransomware-Verhandler für das Unternehmen DigitalMint tätig war, gab er sensible Verhandlungsinformationen direkt an die Kriminellen weiter – um die Lösegeldforderungen zu maximieren und dabei selbst Provisionen zu kassieren. Die Behörden dokumentierten mindestens fünf Fälle 2023, in denen diese Strategie angewandt wurde. Die verhandelten Lösegelder waren erheblich: 26 Millionen, 25 Millionen, 16 Millionen und 6 Millionen Dollar.

Seine zwei Komplizen haben bereits schuldig plädiert: Ryan Goldberg arbeitete für die Incident-Response-Firma Sygnia, Kevin Martin war ebenfalls bei DigitalMint beschäftigt. Beide müssen mit bis zu 20 Jahren Haft rechnen. Aus einem Anschlag auf ein medizinisches Unternehmen in Florida erbeuteten die drei etwa 1,2 Millionen Dollar, bei neun weiteren Zielen scheiterte die Erpressung.

DigitalMint betont, dass die kriminelle Aktivität vollständig vor der Unternehmensleitung verborgen blieb und gegen interne Richtlinien verstieß. Das Unternehmen feuerte beide Beschuldigten, als die Verbindungen aufgedeckt wurden, und unterstützte die DOJ-Ermittlungen aktiv. Das Unternehmen kündigte drastische Reformmaßnahmen an: Alle zukünftigen Verhandlungen sollen über unveränderbar protokollierte Cloud-Plattformen stattfinden, während ein Gründer persönlich alle Gespräche überwacht. Mitarbeiter werden dem Department of Homeland Security zur Überprüfung gemeldet.

Die Branche debattiert nun intensiv über die ethischen Grenzen von Ransomware-Verhandlern. Allan Liska von Recorded Future warnt vor einer “Versuchung” für Sicherheitsexperten, die Zugang zu wertvollen Insider-Informationen haben und die hohen Gewinne der Cyberkriminellen sehen. Der Fall zeigt ein strukturelles Vertrauensproblem, das deutsche Unternehmen berücksichtigen müssen, wenn sie externe Verhandler engagieren.

Ähnliche Artikel