 |
| Crédito: Getty Images |
Ajudar empresas a pagar resgates para extorsionistas digitais é um negócio meio estranho.
Por um lado, você "negocia" com cibercriminosos e, ao fazer isso, pode reduzir os custos de recuperação de um incidente específico de ransomware. Por outro lado, você está ajudando criminosos a serem pagos, financiando suas operações e tornando novos ataques mais prováveis.
E sempre há uma tentação embutida nesse tipo de trabalho. Ver quantias lucrativas sendo transferidas rapidamente por exchanges de criptomoedas e "serviços de mixagem"... Percebendo de perto o quão vulneráveis as empresas são... Descobrir que ransomware moderno pode operar como um serviço onde você basicamente "aluga" o código dos desenvolvedores em troca de uma parte dos lucros...
Um dia, você pode acordar do lado errado da cama e se perguntar: "Por que esse dinheiro que estou direcionando para outros criminosos não deveria ir para mim, um criminoso muito mais digno?"
Segundo o FBI, foi isso que aconteceu com três profissionais de cibersegurança baseados nos EUA que agiram por conta própria nos últimos dois anos, plantando seu próprio malware em empresas americanas e colhendo as doces recompensas, porém ilícitas.
Claro, você precisa se preocupar com quando o FBI vai arrombar sua porta e você vai acabar lamentando suas escolhas para as mesmas pessoas armadas que estão tentando te derrubar, falando sem parar sobre ir para a prisão federal pelo resto da vida, depois comprando passagens só de ida para Paris e acabando em uma cela.
Logo, sua vida inteira foi virada de cabeça para baixo.
Receita de afiliados
Kevin Martin trabalhou como negociador de ransomware para a DigitalMint, uma empresa de Chicago que afirma poder ajudar a "avaliar demandas, buscar criptomoedas legítimas e facilitar transações seguras para minimizar o impacto financeiro e atender rapidamente aos requisitos dos agentes ameaçadores" após um ataque.
Segundo o FBI, em 2023, Martin tomou medidas para se tornar uma "afiliada" dos desenvolvedores de ransomware BlackCat. A BlackCat oferece malware de serviço completo, oferecendo código moderno de ransomware e infraestrutura da dark web em troca de uma parte de qualquer dinheiro gerado por afiliados, que encontram e hackeiam seus próprios alvos. (E sim, às vezes os desenvolvedores da BlackCat enganam seus próprios afiliados.)
Martin tinha visto como esse sistema funcionava na prática através de seu trabalho, e dizem que procurou outras pessoas para ajudá-lo a ganhar dinheiro fácil. Uma dessas pessoas teria sido Ryan Goldberg, de Watkinsville, Geórgia, que trabalhava como gerente de incidentes na empresa de cibersegurança Sygnia. Goldberg disse ao FBI que Martin o recrutou para "tentar resgatar algumas empresas."
Em maio de 2023, o grupo atacou seu primeiro alvo, uma empresa médica sediada em Tampa, Flórida. A equipe colocou o software BlackCat na rede da empresa, onde criptografou os dados corporativos e exigiu um resgate de 10 milhões de dólares pela chave de descriptografia.
Eventualmente, a empresa extorquida decidiu pagar — embora apenas 1,27 milhão de dólares. O dinheiro foi pago em criptomoedas, com uma porcentagem indo para os desenvolvedores da BlackCat e o restante dividido entre Martin, Goldberg e um terceiro conspirador, ainda sem nome.
O sucesso, porém, foi passageiro. Ao longo de 2023, a equipe de extorsão teria perseguido uma empresa farmacêutica em Maryland, um consultório médico, uma empresa de engenharia na Califórnia, além de um fabricante de drones na Virgínia.
Os pedidos de resgate variaram bastante: 5 milhões de dólares, 1 milhão ou até mesmo 300 mil dólares.
Mas ninguém mais pagou.
No início de 2025, uma investigação do FBI havia se intensificado, e o Bureau revistou a propriedade de Martin em abril. Depois disso, Goldberg disse que recebeu uma ligação do terceiro membro da equipe, que estava "surtando" com a invasão em Martin. No início de maio, Goldberg procurou na internet o nome de Martin junto com "doj.gov", aparentemente em busca de notícias sobre a investigação.
Em 17 de junho, Goldberg também foi revistado e seus dispositivos confiscados. Ele concordou em conversar com agentes e inicialmente negou saber qualquer coisa sobre os ataques de ransomware, mas acabou confessando seu envolvimento e apontou Martin como o líder. Goldberg disse aos agentes que ajudou nos ataques para quitar algumas dívidas, e estava desanimado com a ideia de "ir para uma prisão federal pelo resto da vida."
No entanto, ele não foi preso no local. Em 24 de junho, segundo documentos judiciais, ele recebeu uma "carta de alvo" de um Escritório do Procurador dos EUA, informando que era oficialmente suspeito na investigação. No dia seguinte, Goldberg e sua esposa compraram passagens só de ida para Paris. Eles embarcaram no avião em 27 de junho, e Goldberg estava na Europa quando foi acusado pelo governo dos EUA.
Em 21 de setembro, ele voou de volta para a América do Norte — mas não para os EUA. Em vez disso, Goldberg voou de Amsterdã para a Cidade do México, onde foi prontamente preso e deportado.
Embora Martin tenha sido liberado da prisão com uma caução de 400 mil dólares, as ações de Goldberg não justificavam as mesmas condições. Um juiz federal decidiu em 9 de outubro de 2025, que Goldberg não receberia fiança devido à sua "intenção de escapar das forças da lei sem intenção de retornar aos Estados Unidos por meio de sua partida repentina para a Europa com sua esposa em uma passagem só de ida, após receber a carta de alvo."
Goldberg, portanto, está esperando em uma cela pelo julgamento, o que pode resultar em sua devolção à prisão por 78 a 97 meses se aceitar a responsabilidade. (Pode demorar mais se ele não aceitar a responsabilidade, mas depois for considerado culpado.)
A história maluca vem surgindo há meses. A Bloomberg mencionou a existência da investigação em julho de 2025, enquanto publicações especializadas como a CoinTelegraph cobriram o ângulo cripto e observaram que as taxas de pagamento por ransomware vêm caindo há algum tempo. O Chicago Sun-Times divulgou a história, observando que Goldberg e Martin foram demitidos por suas respectivas empresas. Ambas as empresas afirmaram que não são alvos da investigação.
Toda a situação é um pouco surreal, considerando que documentos judiciais mostram que Goldberg, pelo menos, ganhava bem — 214.000 dólares por ano.
Ele perdeu esse salário quando perdeu o emprego, e também parou de pagar a hipoteca da casa quando voou para a Europa. Suas decisões, que já mudaram significativamente sua vida, provavelmente causarão grandes complicações contínuas para os familiares que ainda lidam com as consequências.
Traduzido e adaptado de Ars Technica
