Um antigo negociador de ransomware da DigitalMint — empresa norte-americana especializada em resposta a incidentes — foi condenado a 70 meses de prisão (quase seis anos) por ter conspirado com o grupo de ransomware BlackCat/ALPHV para extorquir as próprias vítimas que fora contratado para ajudar. O caso, anunciado pelo Departamento de Justiça dos EUA a 9 de julho de 2026, é um retrato extremo de uma das ameaças mais difíceis de mitigar em cibersegurança: a ameaça interna.
O negociador que jogava dos dois lados
Angelo Martino, de 41 anos, residente na Florida, tinha por função negociar com cibercriminosos para reduzir os resgates pagos pelos clientes da DigitalMint. Em vez disso, segundo os documentos judiciais, Martino transmitia aos operadores do BlackCat informação confidencial das vítimas — nomeadamente as suas posições negociais e os limites das apólices de ciberseguro — para que os atacantes exigissem o valor máximo possível. Em troca, recebia uma parte do resgate.
Na prática, Martino conduzia negociações contra si próprio: representava a vítima de um lado da mesa enquanto, em canais secretos ligados à infraestrutura do BlackCat, aconselhava os extorsionários do outro. O FBI descreveu-o como alguém que “vendeu as próprias vítimas que foi contratado para representar”. Cinco organizações que recorreram à DigitalMint e foram atribuídas a Martino pagaram, no conjunto, mais de 75 milhões de dólares em resgates — valores que os procuradores consideram terem sido inflacionados pela informação que o negociador entregou aos criminosos.
De negociador a afiliado do BlackCat
O esquema não ficou pela partilha de informação. Em maio de 2023, Martino obteve acesso de afiliado à plataforma de ransomware-as-a-service do BlackCat — um estatuto reservado a parceiros de confiança que executam os ataques. Passou a partilhá-lo com dois cúmplices: Kevin Martin, de 36 anos, também negociador na DigitalMint, e Ryan Goldberg, de 41 anos, gestor de resposta a incidentes noutra empresa de cibersegurança, a Sygnia.
Entre abril e novembro de 2023, o trio usou o próprio BlackCat para atacar e extorquir vítimas nos Estados Unidos, dividindo os lucros entre si e pagando aos administradores do grupo uma comissão de 20% sobre cada resgate. Numa dessas operações, contra uma empresa de dispositivos médicos, extorquiram cerca de 1,2 milhões de dólares em bitcoin. Martin e Goldberg declararam-se culpados em dezembro de 2025 e foram ambos condenados a quatro anos de prisão no final de abril de 2026.
Quem é o BlackCat/ALPHV
O BlackCat, também conhecido como ALPHV, foi uma das operações de ransomware-as-a-service mais prolíficas dos últimos anos. Surgido no final de 2021, o FBI associou-o a mais de 60 intrusões apenas nos primeiros meses de atividade e, até setembro de 2023, o grupo terá recolhido pelo menos 300 milhões de dólares em resgates de mais de 1.000 vítimas. Em dezembro de 2023, uma operação policial internacional liderada pelo FBI desmantelou parte da sua infraestrutura e disponibilizou uma ferramenta de desencriptação que poupou centenas de vítimas.
Até à data, as autoridades apreenderam 10 milhões de dólares em bens de Martino, incluindo criptomoeda, veículos, um food truck e um barco de pesca de luxo adquiridos com os proventos do esquema. A audiência para fixar o valor da restituição está marcada para 17 de setembro de 2026. A DigitalMint afirmou desconhecer por completo a conduta do ex-funcionário, sublinhando que Martino a ocultou deliberadamente através de canais de comunicação não autorizados, e que foi despedido assim que o caso foi descoberto.
Porque é que isto importa
O caso Martino ilustra o risco extremo — ainda que raro — que representa um insider com acesso privilegiado a informação sensível. Numa negociação de ransomware, o negociador conhece exatamente quanto a vítima pode e está disposta a pagar; nas mãos erradas, essa informação transforma-se numa arma contra o próprio cliente. Para as organizações, o episódio reforça a importância de princípios que o Regime Jurídico da Cibersegurança (transposição da NIS2) também sublinha: controlo de acessos, segregação de funções, registo e auditoria de comunicações, e escrutínio dos fornecedores e parceiros de resposta a incidentes. A confiança depositada num terceiro nunca dispensa a verificação — mesmo quando esse terceiro é, em teoria, quem nos devia proteger.
Esta informação tem caráter noticioso e baseia-se em dados divulgados publicamente pelo Departamento de Justiça dos Estados Unidos, pelo FBI e em documentos judiciais associados ao caso.
