Colocar o lobo para cuidar do galinheiro costuma ser uma metáfora para decisões desastrosas. No caso do ransomware BlackCat, porém, essa imagem se tornou realidade. Um especialista contratado para ajudar empresas a enfrentar ataques cibernéticos acabou colaborando secretamente com os próprios criminosos, traindo clientes, empregadores e toda a confiança depositada em seu trabalho.
A recente condenação de Angelo Martino, ao lado de Kevin Tyler Martin e Ryan Clifford Goldberg, expõe um dos casos mais emblemáticos de ameaça interna já revelados no universo da cibersegurança. Em vez de proteger vítimas de ataques, o trio utilizava informações privilegiadas para aumentar os valores exigidos pelos operadores do grupo criminoso BlackCat (ALPHV), tornando cada negociação ainda mais lucrativa para a organização.
Neste artigo, você entenderá como funcionava esse esquema, por que ele representa um dos episódios mais graves de quebra de confiança no combate ao ransomware, quais foram as punições impostas pela Justiça dos Estados Unidos e quais lições empresas e equipes de segurança podem tirar desse caso.
Quem é o grupo de ransomware BlackCat e qual o tamanho do estrago
O BlackCat, também conhecido como ALPHV, tornou-se um dos grupos de ransomware mais perigosos dos últimos anos. Operando desde 2021, a organização ganhou notoriedade por desenvolver campanhas altamente sofisticadas de extorsão digital contra empresas privadas, hospitais, instituições financeiras e organizações sem fins lucrativos.
Segundo o FBI, o grupo acumulou pelo menos US$ 300 milhões (cerca de R$ 1,6 bilhão, considerando a cotação atual) em pagamentos de resgate e fez mais de 1.000 vítimas ao redor do mundo. Esses números colocam o BlackCat entre as operações criminosas mais lucrativas da história recente do cibercrime.
Além da criptografia dos arquivos, o grupo também popularizou a chamada dupla extorsão, estratégia em que dados confidenciais são roubados antes da criptografia. Caso a vítima se recuse a pagar, as informações passam a ser divulgadas publicamente ou vendidas em fóruns clandestinos.
O sucesso do BlackCat também chamou atenção por outro motivo: sua capacidade de recrutar afiliados experientes e utilizar tecnologias modernas para dificultar investigações policiais.

O modelo de ransomware como serviço (RaaS)
Grande parte desse sucesso está ligada ao modelo conhecido como Ransomware as a Service (RaaS).
Nesse formato, os desenvolvedores do malware criam toda a infraestrutura criminosa, enquanto afiliados executam as invasões contra empresas. Em troca, os administradores recebem uma comissão sobre cada pagamento realizado pelas vítimas.
No caso do BlackCat, investigações apontam que os operadores ficavam com aproximadamente 20% dos valores arrecadados, enquanto o restante era distribuído entre os afiliados responsáveis pelos ataques.
Esse modelo praticamente industrializou o ransomware, permitindo que grupos criminosos escalassem suas operações e ampliassem rapidamente sua presença global.
Como funcionava o esquema tático dos falsos negociadores do ransomware BlackCat
O elemento mais chocante dessa investigação não foi apenas a participação de criminosos especializados em ransomware, mas sim o envolvimento de profissionais cuja função era justamente ajudar vítimas durante momentos de crise.
Angelo Martino, Kevin Tyler Martin e Ryan Clifford Goldberg trabalhavam em empresas especializadas em resposta a incidentes e negociação de ataques de ransomware, incluindo a DigitalMint e a Sygnia.
Na prática, essas empresas são contratadas para orientar organizações comprometidas por ataques, reduzir prejuízos financeiros e negociar eventuais pagamentos de resgate quando não existem alternativas viáveis.
Entretanto, segundo a investigação, os três utilizavam essa posição privilegiada para beneficiar secretamente o grupo BlackCat.
A principal quebra de confiança envolvia o acesso a informações altamente sensíveis das vítimas.
Durante as negociações, eles tinham conhecimento de documentos internos, capacidade financeira das empresas e, principalmente, detalhes sobre as apólices de seguro cibernético.
Essas informações eram extremamente valiosas para os criminosos.
Sabendo exatamente quanto uma seguradora poderia cobrir, os operadores do BlackCat ajustavam suas exigências para cobrar praticamente o valor máximo possível, aumentando significativamente a chance de receber pagamentos elevados.
Na prática, os negociadores deixavam de defender os interesses das vítimas para atuar como verdadeiros consultores financeiros do grupo criminoso.
Essa estratégia elevava artificialmente o valor dos resgates e ampliava os lucros da operação criminosa.
As investigações apontam que algumas vítimas pertenciam ao setor de serviços financeiros e também a organizações sem fins lucrativos, que chegaram a realizar pagamentos superiores a US$ 25 milhões (aproximadamente R$ 135 milhões) em diferentes incidentes relacionados ao esquema.
O caso evidencia como ameaças internas podem ser tão perigosas quanto invasores externos.
Mesmo empresas que investem milhões em firewalls, autenticação multifator e monitoramento contínuo continuam vulneráveis quando pessoas com acesso privilegiado abusam da confiança recebida.
Esse episódio também reforça a necessidade de controles rigorosos sobre profissionais terceirizados envolvidos em processos críticos de resposta a incidentes.
O desfecho na Justiça e o alerta sobre ameaças internas envolvendo o ransomware BlackCat
As investigações conduzidas pelas autoridades norte-americanas resultaram na condenação dos três envolvidos.
Angelo Martino recebeu pena de aproximadamente quatro anos de prisão, enquanto os demais participantes também receberam condenações significativas, incluindo sentenças próximas de 70 meses, refletindo a gravidade da fraude, da conspiração e do favorecimento ao esquema de extorsão.
A DigitalMint, uma das empresas afetadas pelo comportamento de seu ex-funcionário, afirmou colaborar integralmente com as autoridades e reforçou seu compromisso com padrões rigorosos de ética e segurança.
O caso serve como um importante alerta para todo o setor de resposta a incidentes.
Não basta investir apenas em tecnologias de proteção. Também é fundamental fortalecer processos internos de auditoria, aplicar o princípio do menor privilégio, registrar todas as etapas das negociações, revisar continuamente acessos privilegiados e estabelecer mecanismos independentes de supervisão sobre profissionais que lidam com informações extremamente sensíveis.
Para administradores de sistemas, equipes de Segurança da Informação e gestores de infraestrutura, essa história demonstra que programas de segurança precisam considerar tanto ameaças externas quanto riscos internos.
A confiança continua sendo um dos pilares da resposta a incidentes, mas ela deve sempre caminhar ao lado de mecanismos robustos de verificação, rastreabilidade e conformidade.
A condenação desses ex-negociadores representa uma importante vitória para as autoridades no combate ao cibercrime, mas também evidencia que os ataques modernos não dependem apenas de malware sofisticado. Muitas vezes, o maior risco está justamente nas pessoas que deveriam proteger as organizações.
Para empresas brasileiras, a principal lição é clara: investir em tecnologia continua sendo essencial, mas criar processos transparentes, auditorias independentes e políticas rigorosas de governança pode ser o diferencial entre conter um incidente ou transformar uma crise em um prejuízo milionário.
Se este caso mostra alguma coisa, é que o combate ao ransomware vai muito além dos computadores. Ele passa, sobretudo, pela confiança, pela ética profissional e pela capacidade de identificar comportamentos suspeitos antes que eles causem danos irreversíveis.