Ex-negociatore di ransomware tradisce clienti e si dichiara colpevole di estorsione

Un uomo della Florida meridionale, Angelo John Martino III, si è dichiarato colpevole di aver cospirato con affiliati del ransomware BlackCat (noto anche come ALPHV) per attaccare e estorcere pagamenti a società statunitensi che rappresentava come negoziatore di ransomware per DigitalMint nel 2023.

Secondo l'accordo di patteggiamento, Martino ha condiviso informazioni riservate sulle posizioni negoziali interne e sui limiti delle polizze assicurative delle vittime, ottenute durante il suo ruolo di negoziatore. Queste informazioni sono state utilizzate per massimizzare i pagamenti dei riscatti a suo vantaggio e per quello di altri affiliati di BlackCat.

Cinque delle vittime di Martino avevano assunto DigitalMint, che gli aveva affidato il compito di condurre le negoziazioni sui riscatti per loro conto. Martino ha sfruttato questa posizione per agire su entrambi i fronti: da un lato come negoziatore per le vittime, dall'altro come complice degli attacchi.

DigitalMint, che non è accusata di alcuna conoscenza o coinvolgimento nei crimini, ha licenziato Martino il giorno successivo alla notifica dell'indagine da parte del Dipartimento di Giustizia, avvenuta nell'aprile 2025.

Le vittime e i pagamenti dei riscatti

Le cinque società statunitensi che hanno assunto DigitalMint e, inconsapevolmente, hanno affidato a Martino il compito di negoziare i riscatti con sé stesso e i suoi complici, operano nei settori non-profit, ospitalità, servizi finanziari, retail e sanitario. Tutte e cinque hanno pagato un riscatto.

Secondo i pubblici ministeri, Martino ha contribuito a estorcere un totale di $75,3 milioni in pagamenti di riscatto, tra cui quasi $26,8 milioni da un ente non-profit non identificato e quasi $25,7 milioni da una società di servizi finanziari anch'essa non identificata.

Coinvolti anche altri ex colleghi

Martino ha ammesso di aver cospirato anche con Kevin Tyler Martin, ex negoziatore di ransomware presso DigitalMint, e Ryan Clifford Goldberg, ex responsabile della risposta agli incidenti presso Sygnia, per distribuire il ransomware BlackCat contro altre cinque società statunitensi tra aprile e novembre 2023.

Goldberg e Martin si sono dichiarati colpevoli a dicembre per la loro partecipazione a una serie di attacchi ransomware e sono in attesa di sentenza fissata per il 30 aprile.

«I clienti di Martino si fidavano di lui per rispondere alle minacce di ransomware e aiutare a contrastarle e risolverle a loro nome», ha dichiarato A. Tysen Duva, vice procuratore generale della Divisione Criminale del Dipartimento di Giustizia. «Invece, lui li ha traditi e ha iniziato a lanciare attacchi ransomware personalmente, aiutando i cybercriminali e danneggiando le vittime, il suo stesso datore di lavoro e l'intera industria della risposta agli incidenti informatici».

Un caso estremo di conflitto di interessi

Il caso contro Martino rappresenta un esempio estremo, sebbene raro, della parte oscura delle negoziazioni di ransomware. Le trattative riservate, spesso non supervisionate, possono portare a situazioni pericolose e incontrollate.

Le autorità hanno reso noti alcuni scambi di messaggi tra Martino e i suoi complici, che dimostrano come abbia tradito i clienti di DigitalMint fornendo informazioni cruciali per massimizzare i profitti delle estorsioni.

In una conversazione con un affiliato di BlackCat durante una risposta a un incidente, Martino ha rivelato che la compagnia assicurativa della vittima «approvava solo piccoli importi». Ha aggiunto: «Continuate a rifiutare le nostre offerte e vi farò sapere una volta scoperto il massimo che sono disposti a pagare».

DigitalMint non ha risposto a una richiesta di commento sulla dichiarazione di colpevolezza di Martino.