Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
Tradimento BlackCat: il negoziatore ransomware vende segreti e gonfia i riscatti alle vittime USA
Nel panorama della cybersecurity il ransomware continua a evolversi non solo sul piano tecnico ma anche su quello umano e organizzativo. Un caso recente mette sotto i riflettori una figura considerata di supporto alle vittime, il ransomware negotiator, che invece avrebbe collaborato con un gruppo criminale legato al ransomware BlackCat durante il 2023.
Secondo le informazioni disponibili, un professionista impiegato come negoziatore avrebbe ammesso le proprie responsabilita per aver partecipato a una cospirazione finalizzata a estorsioni contro aziende statunitensi.
Il punto piu critico della vicenda riguarda l abuso di fiducia e la gestione di dati sensibili nel pieno di un incidente informatico. L imputato avrebbe lavorato su piu casi di risposta a ransomware per conto di vittime diverse, fornendo agli attaccanti informazioni riservate sulle strategie di negoziazione, sulle posizioni interne e persino sui limiti delle polizze assicurative. Dati di questo tipo, nelle trattative, incidono direttamente sul valore del riscatto e possono aumentare la pressione sulle organizzazioni colpite, riducendo lo spazio di manovra per una gestione controllata della crisi.
La collaborazione con gli operatori di BlackCat avrebbe avuto anche una componente economica, con compensi in cambio delle informazioni condivise. In almeno un episodio, l estorsione sarebbe arrivata a circa 1.2 milioni di dollari in Bitcoin, con successiva divisione dei proventi e attivita di riciclaggio. Le autorita avrebbero inoltre sequestrato beni per circa 10 milioni di dollari, inclusi asset digitali e beni di valore, a conferma di quanto le campagne ransomware possano generare profitti elevati e rapidamente monetizzabili.
Il caso evidenzia un rischio spesso sottovalutato nella gestione degli incidenti, la minaccia insider. Anche quando un organizzazione si affida a figure esperte di incident response e negoziazione ransomware, restano fondamentali controlli, separazione dei ruoli, tracciamento delle comunicazioni e procedure di governance. La sicurezza non dipende solo da firewall e backup, ma anche dall integrita dei processi e delle persone coinvolte nelle decisioni piu delicate.