Terceiro negociador de ransomware americano e condenado a 70 meses de prisao por conspiracao com o BlackCat/AlphV

Angelo Martino, 41 anos, ex-negociador da Sygnia e da DigitalMint, foi sentenciado a quase seis anos de prisao apos declarar-se culpado. Ele e o terceiro profissional de resposta a incidentes condenado no mesmo esquema que extorquiu pelo menos cinco vitimas americanas em 2023.

Negociador ransomware condenado

Angelo Martino, 41 anos, ex-negociador de ransomware na Florida, foi condenado a 70 meses de prisao na Justica Federal americana por conspirar com o grupo BlackCat/AlphV enquanto era contratado para ajudar as vitimas. Ele e o terceiro profissional de ciberseguranca sentenciado no mesmo esquema — os outros dois, Kevin Martin do Texas e Ryan Goldberg da Georgia, receberam 48 meses cada em abril de 2026. Juntos, os tres extorquiram pelo menos cinco empresas americanas entre abril e novembro de 2023, dividindo aproximadamente 1,4 milhao de dolares em resgates.

O que aconteceu

Martino trabalhava em duas empresas americanas de resposta a incidentes — a Sygnia e depois a DigitalMint — atuando como negociador entre vitimas de ransomware e criminosos. O modelo de negocio e simples: quando uma empresa e atingida, contrata negociadores para reduzir o valor exigido e coordenar o pagamento em criptomoeda em troca das chaves de decifracao.

Segundo o Departamento de Justica, em abril de 2023 Martino comecou a colaborar diretamente com operadores do BlackCat/AlphV. O acordo previa que ele identificaria alvos, forneceria informacoes internas sobre a capacidade de pagamento das vitimas e conduziria as negociacoes de forma a maximizar o resgate — em troca de percentual sobre o valor recebido.

A condenacao veio depois que Martino se declarou culpado em abril de 2026. Alem dos 70 meses de prisao, ele deve pagar restituicao e ficara tres anos em liberdade supervisionada apos cumprir a pena. O juiz federal destacou que a posicao de confianca ocupada por Martino agravou substancialmente a sentenca.

Como o esquema funcionava

O modelo de traicao interna documentado pelo DOJ segue um padrao: negociador contratado pela vitima, com acesso a informacao privilegiada (relatorios financeiros, cobertura de seguro cibernetico, apetite de negociacao do CFO), repassa essa informacao para o operador do ransomware. Munido desses dados, o operador ajusta a demanda inicial para o teto tolerado pela vitima, extrai o valor maximo possivel, e paga comissao ao negociador via mixer de criptomoedas.

Segundo o processo, os tres condenados usavam contas de troca descentralizada e wallets self-custody para receber pagamentos, mas cometeram falhas classicas de OPSEC: reutilizacao de enderecos, sacas periodicas para contas bancarias vinculadas a identidade real e comunicacoes com afiliados do BlackCat por canais que acabaram sendo interceptados por meio de mandado.

“Os tres homens trabalhavam em empresas de ciberseguranca, e dois deles serviam como negociadores de ransomware encarregados de ajudar vitimas — mas em vez disso ajudaram os criminosos em troca de parcela do resgate”, registrou o Departamento de Justica dos EUA.

O BlackCat/AlphV, tambem conhecido como Noberus, foi um dos grupos de ransomware-as-a-service mais ativos entre 2022 e 2024. Sua operacao entrou em colapso em marco de 2024 apos um exit scam contra o afiliado responsavel pelo ataque a Change Healthcare — episodio em que o grupo desapareceu com 22 milhoes de dolares em resgate sem repartir com o operador.

Quem esta em risco

  • Empresas contratantes de negociadores externos: a diligencia sobre background do profissional individualmente designado — nao apenas da firma — passa a ser critica;
  • Seguradoras cibernaticas: as apolices que reembolsam pagamento de resgate criam incentivo perverso quando o negociador tem interesse pessoal em maximizar o valor pago;
  • Firmas de resposta a incidentes: Sygnia e DigitalMint precisaram de meses para revisar cadeias internas apos as prisoes; a reputacao do setor todo foi atingida;
  • Empresas brasileiras: o mercado nacional de resposta a incidentes cibernaticos e menos maduro em controles internos, e vem crescendo rapidamente com a expansao das apolices de cyber no pais;
  • Comunidade cripto: os enderecos e mixers usados pelo trio expuseram tecnicas ainda em uso por afiliados de outros grupos ativos como Play, Qilin e RansomHub.

Analise: o problema estrutural do insider na resposta a incidentes

Casos anteriores de negociadores desonestos existiram — o mais notorio foi o do argentino Sebastian Vachon Desjardins, ligado ao NetWalker, condenado em 2022 nos EUA. Mas Martino, Martin e Goldberg representam um salto qualitativo: nao eram operadores infiltrados que abriram empresa de fachada, e sim profissionais legitimamente contratados pelas maiores firmas do setor de IR (incident response). O risco insider deixou de ser hipotese academica e passou a ser precedente processual documentado tres vezes.

O paralelo mais preocupante e com o setor financeiro dos anos 2000, quando a fronteira entre analista de compliance e trader interno virou ponto de fragilidade classica. A resposta la foi construir muralhas chinesas: separacao operacional, monitoramento de comunicacoes, rotacao de responsabilidades. Em ciberseguranca, quase nenhuma firma de IR opera com esse nivel de controle interno hoje. O negociador tem visibilidade sobre o cofre da vitima e sobre a wallet do atacante ao mesmo tempo — e o incentivo financeiro assimetrico ja mostrou que basta um bimestre de conversa em Telegram para nascer a proxima parceria criminosa.

Ha ainda uma dimensao regulatoria: o FBI e a CISA vem, desde 2024, pressionando por proibicoes municipais e estaduais ao pagamento de resgate por entidades publicas. As tres condenacoes reforcam esse argumento, mostrando que ate quando ha intermediarios profissionais confiaveis, o ecossistema pode ser capturado por dentro. Em 2026, oito estados americanos ja tem alguma restricao formal ao pagamento por orgaos publicos — tendencia que deve se acelerar.

Recomendacoes praticas

  • Para CISOs contratando IR/negociadores externos: exija segregacao dupla — quem negocia nao pode ser o mesmo profissional que tem acesso aos artefatos forenses ou ao pagamento do resgate; envolva um segundo negociador de firma diferente em casos acima de determinado valor;
  • Contratos com firmas de IR: incluir clausulas explicitas de auditoria de comunicacoes do negociador durante o incidente, direito de exigir substituicao do profissional a qualquer momento e vedacao de recebimento de comissao por terceiros;
  • Para firmas de IR: monitorar wallets pessoais de funcionarios com acesso a negociacao — nao invasivo, mas exigencia contratual de declaracao periodica ligada a background check;
  • Para seguradoras: revisar politicas de reembolso para nao criar incentivo a maximizacao do valor negociado; considerar limites hard baseados em EBITDA e nao apenas em disposicao a pagar;
  • Para vitimas: mantenha rastreabilidade completa de todas as comunicacoes entre negociador e atacante; exija copia integral do log ao final; sinalize a autoridade quaisquer discrepancias entre o comportamento negociado e o observado;
  • No Brasil: ANPD e CGU podem incorporar exigencias equivalentes em orientacoes setoriais sobre resposta a incidentes cibernaticos, especialmente para entidades reguladas (financeiro, saude, infraestrutura critica).

Fonte: SecurityWeek