O Departamento de Justiça dos Estados Unidos (DOJ) confirmou a sentença de dois profissionais de cibersegurança americanos, Ryan Goldberg e Kevin Martin, a quatro anos de prisão federal cada, por conduzir ataques de ransomware contra empresas dos EUA utilizando o malware ALPHV BlackCat. A sentença ocorreu em 30 de abril de 2026, marcando um passo significativo na responsabilização de criminosos cibernéticos com experiência técnica.
Detalhes da sentença e condenação
Ryan Goldberg, de 40 anos, da Geórgia, e Kevin Martin, de 36 anos, do Texas, admitiram culpa em dezembro de 2025 em acusações de conspiração relacionadas a extorsão através de atividade de ransomware. Ambos utilizaram sua experiência profissional em cibersegurança para atacar as mesmas organizações que haviam sido treinados para proteger. O FBI Miami Field Office identificou e documentou plenamente o escopo deste esquema criminal.
O caso destaca a dimensão do insider threat, onde indivíduos com conhecimento profundo de defesas utilizam esse conhecimento para contorná-las. O FBI rastreou Goldberg através de 10 países após ele tentar fugir do exterior para evitar a acusação, demonstrando o alcance global da investigação e a determinação das autoridades americanas em manter criminosos cibernéticos totalmente responsáveis por suas ações.
Operação do ALPHV BlackCat
O ALPHV BlackCat emergiu como uma ameaça séria no final de 2021 e rapidamente se tornou uma das famílias de ransomware mais sofisticadas rastreadas por agências de segurança global. Escrito na linguagem de programação Rust, foi projetado para rodar em múltiplos sistemas operacionais, incluindo Windows e Linux, o que o tornava altamente adaptável a diferentes ambientes.
O ransomware se espalhou através de vários vetores de ataque, como credenciais roubadas, e-mails de phishing e serviços de protocolo de área de trabalho remota expostos. Uma vez dentro de uma rede alvo, ele se movia lateralmente, desativava ferramentas de segurança e criptografava arquivos críticos antes de exigir pagamento em criptomoeda. Seus operadores executavam uma plataforma de ransomware-as-a-service (RaaS) que permitia afiliados externos usar o malware em troca de uma parte dos resgates.
Impacto financeiro e escala
Os documentos do tribunal confirmaram que o ALPHV BlackCat atingiu mais de 1.000 vítimas em todo o mundo, incluindo empresas que fornecem serviços médicos e de engenharia nos Estados Unidos. Em um caso, dados de pacientes de um consultório médico foram vazados após a vítima não cumprir a demanda de resgate. Goldberg e Martin, junto com o co-conspirador Angelo Martino, de 41 anos, da Flórida, extorquiram aproximadamente 1,2 milhão de dólares em Bitcoin de uma única vítima.
Os três homens dividiram sua parte de 80% dos lucros após lavar os fundos através de vários meios. A divisão clara de trabalho entre desenvolvedores e afiliados dificultou a atribuição para investigadores, pois aqueles que conduziam os ataques eram totalmente separados daqueles que construíam as ferramentas.
Dimensão do insider threat
Um aspecto que complicou o caso foi a dimensão do insider ligada a Martino, que supostamente usou sua posição como negociador de ransomware para vítimas para passar informações confidenciais diretamente para os agentes de ameaça. Isso permitiu que os atacantes aumentassem as demandas de resgate de forma direcionada e calculada. A audiência de sentença de Martino está agendada para 9 de julho de 2026.
Este caso serve como um alerta para organizações sobre a importância de monitorar o comportamento de funcionários com acesso privilegiado e implementar controles de acesso rigorosos. A confiança em profissionais de segurança não deve substituir a verificação e a auditoria contínua.
Resposta do FBI e ferramentas de descriptografia
O FBI havia anteriormente agido contra o ALPHV BlackCat em dezembro de 2023, desenvolvendo uma ferramenta de descriptografia compartilhada com centenas de vítimas globalmente, salvando aproximadamente 99 milhões de dólares em pagamentos de resgate e apreendendo vários sites que o grupo operava. Esta ação demonstrou a capacidade das agências de segurança de mitigar danos mesmo após a infecção inicial.
Organizações que acreditam ser vítimas de ransomware são aconselhadas a entrar em contato com seu escritório local do FBI ou enviar um relatório em ic3.gov. Qualquer indivíduo com informações sobre atividades do ALPHV BlackCat pode ser elegível para recompensas através do programa Rewards for Justice do Departamento de Estado.
Implicações para CISOs e governança
A sentença reforça a necessidade de programas de conformidade robustos e treinamento de conscientização sobre phishing. A utilização de RaaS significa que qualquer organização pode ser alvo, independentemente do tamanho. A segmentação de rede, backups imutáveis e planos de resposta a incidentes são essenciais para reduzir o impacto financeiro e operacional de tais ataques.
Perguntas frequentes
Qual a pena máxima para crimes de ransomware?
Depende das acusações específicas, mas casos como este podem resultar em anos de prisão federal e multas significativas.
Como empresas podem se proteger do RaaS?
Implementando autenticação multifator, segmentação de rede e backups regulares e isolados.
O ALPHV BlackCat ainda está ativo?
Embora os operadores tenham sido processados, variantes e grupos similares continuam operando, exigindo vigilância constante.