Le ministère américain de la Justice inculpé Kevin Tyler Martin, un employé de DigitalMint, et un ancien employé anonyme de DigitalMint le mois dernier, pour trois chefs d’accusation de piratage informatique et d’extorsion. Les procureurs les ont accusés, ainsi que Ryan Clifford Goldberg, ancien responsable de la réponse aux incidents chez Sygnia, d’avoir mené des attaques de ransomware contre au moins cinq entreprises américaines en piratant des systèmes, en volant des données sensibles et en déployant des logiciels malveillants du groupe ALPHV/BlackCat. Martin et la personne anonyme ont travaillé comme négociateurs de ransomwares chez DigitalMint, une société de cybersécurité qui aide les victimes à négocier les paiements aux pirates informatiques. Goldberg a servi dans la réponse aux incidents chez Sygnia, une autre société de cybersécurité. Les actes d’accusation découlent d’un stratagème dans lequel ces individus se seraient retournés contre leur rôle professionnel pour perpétrer eux-mêmes les attaques. Ils ont ciblé les réseaux d’entreprise pour infiltrer et extraire des informations confidentielles, puis ont chiffré les données à l’aide des outils ransomware fournis par ALPHV/BlackCat. Le groupe ALPHV/BlackCat fonctionne selon un modèle de ransomware-as-a-service. Dans cet arrangement, le gang crée un logiciel malveillant de cryptage de fichiers conçu pour voler et brouiller les données des victimes. Les affiliés, y compris les personnes inculpées, exécutent les intrusions et installent le ransomware sur les systèmes concernés. Une fois les rançons payées, le gang récupère une partie des bénéfices et distribue le reste aux affiliés qui ont réalisé les opérations. Un affidavit du FBI soumis en septembre, les auteurs précisent que les auteurs ont obtenu plus de 1,2 million de dollars de rançon auprès d’une seule victime, identifiée comme étant un fabricant de dispositifs médicaux situé en Floride. Ce paiement résulte du déploiement réussi du ransomware, qui a verrouillé l’accès aux données critiques jusqu’au transfert de la rançon. L’affidavit décrit les méthodes techniques utilisées, y compris l’accès non autorisé aux serveurs de l’entreprise et l’exfiltration ultérieure des données avant le cryptage. Parmi les autres cibles figuraient un fabricant de drones basé en Virginie et une société pharmaceutique dont le siège est dans le Maryland. Ces attaques ont suivi un schéma similaire, impliquant une pénétration initiale du réseau, un vol de données et le déploiement de ransomwares. La société de Virginie est spécialisée dans les véhicules aériens sans pilote destinés à diverses industries, tandis que la société du Maryland développe des médicaments et mène des opérations de recherche. Le projet a touché au moins trois autres sociétés basées aux États-Unis, même si les détails spécifiques de celles-ci n’ont pas été divulgués dans les documents publics. Le Chicago Sun-Times initialement signalé l’acte d’accusation dimanche, attirant l’attention du public sur l’affaire. Ce rapport a suscité de nouvelles divulgations de la part des sociétés impliquées. Le directeur général de Sygnia, Guy Segal, a confirmé à TechCrunch que Goldberg était un employé et qu’il avait été licencié après que l’entreprise ait appris son implication présumée dans les attaques de ransomware. Segal a déclaré que Sygnia avait refusé de commenter davantage en raison de l’enquête en cours du FBI sur l’affaire. Le président de DigitalMint, Marc Grens, a déclaré à TechCrunch que Martin était employé au moment des piratages présumés, mais qu’il agissait complètement en dehors du cadre de son emploi. Grens a également confirmé que la personne anonyme pourrait être un ancien employé. Il a ajouté que DigitalMint coopère à l’enquête du gouvernement, en fournissant les informations pertinentes et l’accès requis par les autorités.
