De blev betalt for at redde virksomheder ud af hackeres jerngreb. Men bag kulisserne planlagde de selv angrebene og krævede løsepenge.
To tidligere ansatte hos cybersikkerhedsfirmaet DigitalMint, der specialiserer sig i at forhandle løsesummer med ransomware-hackere, er sigtet for selv at stå bag en stribe målrettede angreb.
“Martin handlede fuldstændig uden for rammerne af sit arbejde,” siger DigitalMints præsident Marc Grens til TechCrunch. Firmaet samarbejder nu med myndighederne.
De to - Kevin Tyler Martin og en endnu unavngiven kollega - stod dog ikke alene.
Også en tredje person ved navn Ryan Goldberg, der er tidligere incident response-chef hos cybersikkerhedsfirmaet Sygnia, er anklaget. Ifølge FBI var han med til at planlægge og udføre angrebene.
“Goldberg blev fyret, så snart vi opdagede hans involvering,” siger Sygnia-topchef Guy Segal.
Krævede over en million dollar i løsesum
I et af de mest opsigtsvækkende tilfælde krævede trioen over 1,2 millioner dollar i kryptovaluta fra en medicovirksomhed i Florida.
“Victim 1’s servere blev krypteret. Angrebet medførte driftsstop, og medarbejdere kunne ikke udføre deres arbejde,” står der i FBI’s 10 sider lange affidavit, der er et anklageskrift fra FBI lagt under ed.
Offeret betalte.
De tre bagmænd arbejde tilsyneladende sammen med hackergruppen AlphV/Blackcat, der blandt andet er kendt for det store angreb mod den amerikanske apotekerkæde Change Health.
“De tre delte gevinsten med udviklerne bag ALPHV/BlackCat, som stillede ransomware-værktøjerne til rådighed,” forklarer FBI-agent Dominique Dawson.
Angrebene fulgte en kendt opskrift: Stjæl data, krypter servere, kræv løsepenge – og skjul transaktionerne via mixingtjenester på dark web.
Ekspert på scenen – hacker bag kulissen
Ironisk nok blev Ryan Goldberg tidligere på året inviteret til at holde oplæg om netop ransomware-håndtering – altså den lovlige slags – på en af verdens førende cybersikkerhedskonferencer, SANS Summit.
Hans navn fremgik af programmet ifølge en arkiveret version i Wayback Machine. Men nu er det væk. Slettet. Redigeret væk af den ellers velrenommerede udbyder af træning og certificering i cybersikkerhed.
Angrebene blev udført med såkaldt "ransomware-as-a-service": En forretningsmodel, hvor udviklere som ALPHV/BlackCat udlejer deres digitale våben til partnere, der udfører selve angrebene.
“De tre fik adgang til det krypterede panel på dark web og brugte det til at angribe, forhandle og afpresse,” lyder det i dokumentet.
Ofrene tæller blandt andet:
- Et hospital i Florida
- Et medicinalfirma i Maryland
- En dronefabrikant i Virginia
- En lægeklinik i Californien
- Et ingeniørfirma, hvor de krævede 1 million dollar
