Het Amerikaanse ministerie van Justitie aangeklaagd Kevin Tyler Martin, een medewerker van DigitalMint, en een niet bij naam genoemde voormalige medewerker van DigitalMint, beschuldigden vorige maand drie aanklachten van computerhacking en afpersing. Aanklagers hebben hen en Ryan Clifford Goldberg, een voormalige incidentresponsmanager bij Sygnia, aangeklaagd voor het uitvoeren van ransomware-aanvallen tegen ten minste vijf Amerikaanse bedrijven door systemen te hacken, gevoelige gegevens te stelen en malware van de ALPHV/BlackCat-groep in te zetten. Martin en de niet bij naam genoemde persoon werkten als ransomware-onderhandelaars bij DigitalMint, een cyberbeveiligingsbedrijf dat slachtoffers helpt bij het onderhandelen over betalingen aan hackers. Goldberg diende als incidentrespons bij Sygnia, een ander cyberbeveiligingsbedrijf. De aanklachten vloeien voort uit een plan waarbij deze personen zich naar verluidt tegen hun professionele rol hebben gekeerd om de aanslagen zelf te plegen. Ze richtten zich op bedrijfsnetwerken om vertrouwelijke informatie te infiltreren en te extraheren, en versleutelden vervolgens de gegevens met behulp van ransomware-tools van ALPHV/BlackCat. De ALPHV/BlackCat-groep functioneert via een ransomware-as-a-service-model. In deze regeling creëert de bende de bestandsversleutelende malware die is ontworpen om de gegevens van slachtoffers te stelen en te versleutelen. Filialen, waaronder de aangeklaagde personen, voeren de inbraken uit en installeren de ransomware op de getroffen systemen. Zodra het losgeld is betaald, int de bende een deel van de opbrengst en verdeelt de rest onder de aangesloten bedrijven die de operaties hebben uitgevoerd. Een FBI-beëdigde verklaring ingediend in september details dat de daders meer dan 1,2 miljoen dollar aan losgeld hebben verkregen van één enkel slachtoffer, geïdentificeerd als een fabrikant van medische apparatuur in Florida. Deze betaling was het gevolg van de succesvolle inzet van de ransomware, die de toegang tot kritieke gegevens blokkeerde totdat het losgeld werd overgemaakt. De beëdigde verklaring schetst de gebruikte technische methoden, inclusief ongeautoriseerde toegang tot de servers van het bedrijf en de daaropvolgende data-exfiltratie vóór encryptie. Bijkomende doelwitten waren onder meer een dronefabrikant gevestigd in Virginia en een farmaceutisch bedrijf met hoofdkantoor in Maryland. Deze aanvallen volgden een soortgelijk patroon, waarbij initiële netwerkpenetratie, gegevensdiefstal en de inzet van ransomware betrokken waren. Het bedrijf uit Virginia is gespecialiseerd in onbemande luchtvaartuigen voor verschillende industrieën, terwijl het bedrijf uit Maryland medicijnen ontwikkelt en onderzoeksactiviteiten uitvoert. De regeling had gevolgen voor ten minste drie andere in de VS gevestigde bedrijven, hoewel specifieke details daarover niet openbaar worden gemaakt in de openbare documenten. Aanvankelijk de Chicago Sun-Times gerapporteerd de aanklacht op zondag, waardoor de publieke aandacht op de zaak werd gevestigd. Deze berichtgeving heeft geleid tot verdere onthullingen van de betrokken bedrijven. Sygnia-topman Guy Segal bevestigde tegenover TechCrunch dat Goldberg een werknemer was geweest en werd ontslagen nadat het bedrijf hoorde van zijn vermeende betrokkenheid bij de ransomware-aanvallen. Segal verklaarde dat Sygnia weigerde verder commentaar te geven vanwege het lopende onderzoek van de FBI naar de zaak. DigitalMint-president Marc Grens vertelde TechCrunch dat Martin in dienst was ten tijde van de vermeende hacks, maar volledig buiten de reikwijdte van zijn dienstverband handelde. Grens bevestigde ook dat de naamloze persoon mogelijk een voormalige werknemer is. Hij voegde eraan toe dat DigitalMint meewerkt aan het onderzoek van de overheid en relevante informatie en toegang verstrekt zoals vereist door de autoriteiten.
