Departament Sprawiedliwości USA oskarżony Kevin Tyler Martin, pracownik DigitalMint i anonimowy były pracownik DigitalMint w zeszłym miesiącu pod trzema zarzutami włamań do komputerów i wymuszenia. Prokuratorzy oskarżyli ich oraz Ryana Clifforda Goldberga, byłego menedżera ds. reagowania na incydenty w Sygnii, o przeprowadzenie ataków ransomware na co najmniej pięć amerykańskich firm poprzez włamywanie się do systemów, kradzież wrażliwych danych i wdrażanie złośliwego oprogramowania z grupy ALPHV/BlackCat. Martin i anonimowa osoba pracowali jako negocjatorzy ds. oprogramowania ransomware w DigitalMint, firmie zajmującej się cyberbezpieczeństwem, która pomaga ofiarom w negocjowaniu płatności na rzecz hakerów. Goldberg zajmował się reagowaniem na incydenty w Sygnii, innej firmie zajmującej się cyberbezpieczeństwem. Akty oskarżenia wynikają ze schematu, w ramach którego osoby te rzekomo odwróciły się od swoich ról zawodowych, aby same dokonać ataków. Celem ataku były sieci korporacyjne, aby infiltrować i wydobywać poufne informacje, a następnie szyfrować dane przy użyciu narzędzi ransomware dostarczonych przez ALPHV/BlackCat. Grupa ALPHV/BlackCat działa w oparciu o model oprogramowania ransomware jako usługi. W tym układzie gang tworzy złośliwe oprogramowanie szyfrujące pliki, którego zadaniem jest kradzież i szyfrowanie danych ofiar. Podmioty stowarzyszone, w tym osoby oskarżone, dokonują włamań i instalują oprogramowanie ransomware na dotkniętych systemach. Po zapłaceniu okupu gang zbiera część dochodów, a pozostałą część przekazuje podmiotom stowarzyszonym, które przeprowadziły operacje. Oświadczenie FBI złożony we wrześniu szczegółowo podaje, że sprawcy uzyskali ponad 1,2 miliona dolarów okupu od jednej ofiary, zidentyfikowanej jako producent urządzeń medycznych z siedzibą na Florydzie. Płatność ta wynikała z pomyślnego wdrożenia oprogramowania ransomware, które blokowało dostęp do krytycznych danych do czasu przekazania okupu. W oświadczeniu opisano zastosowane metody techniczne, w tym nieautoryzowany dostęp do serwerów firmy i późniejszą eksfiltrację danych przed szyfrowaniem. Dodatkowe cele obejmowały producenta dronów z siedzibą w Wirginii i firmę farmaceutyczną z siedzibą w Maryland. Ataki te przebiegały według podobnego schematu i obejmowały początkową penetrację sieci, kradzież danych i wdrożenie oprogramowania ransomware. Firma Virginia specjalizuje się w bezzałogowych statkach powietrznych dla różnych gałęzi przemysłu, natomiast firma Maryland opracowuje leki i prowadzi działalność badawczą. Program dotyczył co najmniej trzech innych firm z siedzibą w USA, choć szczegółowe informacje na ich temat nie zostały ujawnione w publicznych dokumentach. Początkowo „Chicago Sun-Times”. zgłoszone akt oskarżenia w niedzielę, zwracając uwagę opinii publicznej na sprawę. Sprawozdanie to spowodowało ujawnienie dalszych ujawnień przez zaangażowane przedsiębiorstwa. Dyrektor naczelny Sygnii, Guy Segal, potwierdził TechCrunch, że Goldberg był pracownikiem i został zwolniony po tym, jak firma dowiedziała się o jego rzekomym zaangażowaniu w ataki oprogramowania ransomware. Segal oświadczył, że Sygnia odmówiła dalszych komentarzy ze względu na trwające śledztwo FBI w tej sprawie. Prezes DigitalMint, Marc Grens, powiedział TechCrunch, że Martin był zatrudniony w czasie rzekomych włamań, ale działał zupełnie poza zakresem swojego zatrudnienia. Grens potwierdził również, że anonimowa osoba może być byłym pracownikiem. Dodał, że DigitalMint współpracuje w dochodzeniu rządowym, zapewniając odpowiednie informacje i dostęp zgodnie z wymaganiami władz.
