Ex-Ransomware-Verhandler verrät Kunden und gesteht Erpressung

Verhandler nutzte Vertrauensstellung für Cyberangriffe aus

Ein 41-jähriger Mann aus Florida hat sich schuldig bekannt, gemeinsam mit BlackCat-Affiliaten Ransomware-Angriffe auf US-Unternehmen verübt zu haben – darunter auch Firmen, die er als Verhandler für DigitalMint vertreten sollte. Wie das US-Justizministerium mitteilte, nutzte Angelo John Martino III seine Insiderkenntnisse aus den Verhandlungen, um die Lösegeldforderungen zu maximieren.

Doppelte Rolle: Opfer und Täter zugleich

Martino arbeitete für DigitalMint, eine Firma, die auf Ransomware-Verhandlungen spezialisiert ist. Fünf seiner Opfer hatten ihn offiziell als Verhandler engagiert. Statt sie zu schützen, lieferte er jedoch sensible Informationen an Cyberkriminelle – darunter Details zu Versicherungspolicen und internen Verhandlungsstrategien. Alle fünf betroffenen Unternehmen zahlten schließlich Lösegeld.

Laut Anklage half Martino seinen Komplizen, insgesamt 75,3 Millionen Dollar zu erpressen. Darunter befanden sich 26,8 Millionen Dollar von einer gemeinnützigen Organisation und 25,7 Millionen Dollar von einem Finanzdienstleister. Die Zahlungen erfolgten zwischen April und November 2023.

Kooperation mit weiteren Cyberkriminellen

Martino arbeitete laut Geständnis mit zwei weiteren ehemaligen DigitalMint-Mitarbeitern zusammen: Kevin Tyler Martin, ebenfalls Verhandler, und Ryan Clifford Goldberg, ehemaliger Vorfallmanager bei Sygnia. Gemeinsam setzten sie BlackCat-Ransomware (auch bekannt als ALPHV) gegen fünf weitere US-Unternehmen ein. Martin und Goldberg hatten bereits im Dezember 2024 ein Geständnis abgelegt und sollen am 30. April 2025 verurteilt werden.

Justizministerium: Verrat an Kunden und Branche

„Angelo Martinos Kunden vertrauten ihm, um Ransomware-Bedrohungen abzuwehren und Schäden zu beheben. Stattdessen verriet er sie, startete selbst Angriffe und schädigte damit nicht nur seine Opfer, sondern auch seinen Arbeitgeber und die gesamte Incident-Response-Branche.“

A. Tysen Duva, stellvertretender Generalstaatsanwalt im Justizministerium

Interne Chats belegen systematischen Betrug

Behörden veröffentlichten Auszüge aus Martinos Chatverläufen mit Komplizen und Opfern. Darin zeigte sich, wie er gezielt Druck aufbaute, um Lösegeldforderungen in die Höhe zu treiben. In einem Fall teilte er einem BlackCat-Affiliaten mit, die Versicherung des Opfers genehmige „nur kleine Beträge“ – und bot an, die maximale Zahlungsbereitschaft des Unternehmens zu ermitteln.

DigitalMint, das selbst nicht beschuldigt wird, entließ Martino umgehend nach Bekanntwerden der Ermittlungen im April 2025. Das Unternehmen äußerte sich nicht zu den Vorwürfen.

Hintergrund: Risiken der Ransomware-Verhandlungen

Der Fall unterstreicht die Gefahren von Backchannel-Verhandlungen in der Cyberkriminalität. Obwohl solche Praktiken selten sind, zeigen sie, wie anfällig das System für Missbrauch ist. Experten warnen vor unkontrollierten Verhandlungen, die ohne ausreichende Transparenz oder Aufsicht ablaufen.

Die Ermittlungen laufen weiter. Martino bleibt bis zur Verurteilung auf freiem Fuß.