Dois profissionais que até pouco tempo vendiam sua expertise para proteger sistemas corporativos acabam de admitir, na Justiça norte-americana, que estavam do outro lado da trincheira digital. Ryan Goldberg e Kevin Martin declararam-se culpados por comandar ataques com o ransomware BlackCat (ALPHV) contra empresas de setores críticos dos EUA, causando prejuízos superiores a US$ 9,5 milhões. A sentença está marcada para 12 de março de 2026, e cada um deles pode receber até 20 anos de prisão.
Quem eles atacaram — e por quê isso importa
Segundo o Departamento de Justiça (DoJ), entre abril e dezembro de 2023 a dupla mirou cinco alvos:
- Uma fabricante de dispositivos médicos da Flórida
- Uma farmacêutica de Maryland
- Um consultório médico na Califórnia
- Uma empresa de engenharia na Califórnia
- Um fabricante de drones na Virgínia
Os setores de saúde e de engenharia lidam com dados sensíveis e propriedade intelectual de alto valor — combinação perfeita para extorsão digital. Ainda que o dano total tenha passado dos nove milhões de dólares, os investigadores só conseguiram rastrear US$ 324.123,26 nas carteiras de criptomoedas controladas por Goldberg e Martin.
Por dentro do BlackCat/ALPHV: a nova geração de Ransomware-as-a-Service
Diferente de variantes mais antigas (Revil, LockBit ou Cl0p), o BlackCat foi escrito em Rust, linguagem que oferece desempenho de baixo nível e dificulta a engenharia reversa. Na modalidade Ransomware-as-a-Service (RaaS), desenvolvedores fornecem o malware, enquanto “afiliados” — caso de Goldberg e Martin — escolhem as vítimas, negociam resgates e ficam com parte da bolada.
Um dos diferenciais mais perigosos do BlackCat é a habilidade de sequestrar também backups em nuvem. Empresas que acreditavam estar protegidas apenas por snapshots automáticos descobriram que o plano de contingência poderia virar porta de entrada para o ataque.
Como a operação foi desmantelada
A caçada começou meses antes. Em dezembro de 2023, o FBI divulgou ter criado uma ferramenta de decriptação que devolveu arquivos a centenas de organizações, evitando cerca de US$ 99 milhões em pagamentos de resgate. A cooperação internacional incluiu troca de hashes, domínios de comando e controle e rastreamento de transações de criptomoedas.
Lições para empresas (e para o usuário doméstico)
Se até especialistas em defesa podem virar o jogo e atuar do lado negro, a pergunta é: o que sua empresa — ou sua rede doméstica — está fazendo para mitigar riscos?
Imagem: Peter Sayer Ex
- Backups off-line e imutáveis: além de nuvem, mantenha cópias desconectadas em SSDs ou HDs externos. Modelos portáteis USB-C de 2 TB já custam menos que uma mensalidade de serviço de nuvem corporativa.
- Autenticação multifator baseada em hardware: chaves de segurança como as da linha YubiKey eliminam senhas fracas que costumam ser a porta de entrada inicial.
- EDR e segmentação de rede: soluções de detecção e resposta estendem a visibilidade a endpoints e servidores, isolando ameaça antes que ela se propague.
- Treinamento contínuo: phishing segue sendo vetor nº 1. Simulações mensais reduzem em até 70% a taxa de cliques mal-intencionados, segundo dados da Gartner.
Para pequenas equipes de TI, adotar appliances de firewall de próxima geração ou roteadores que já trazem IDS/IPS integrados — vários deles disponíveis em lojas online — pode oferecer um escudo extra contra tráfego suspeito sem exigir expertise avançada.
O que vem a seguir
Enquanto Goldberg e Martin aguardam a sentença, o DoJ continua a busca por outros afiliados do BlackCat. O caso reforça a tendência de 2025 para 2026: ataques estão se sofisticando, mas também as ferramentas de defesa e — sobretudo — a cooperação global entre forças de segurança.
Para quem administra infraestrutura ou simplesmente quer manter seus dados pessoais protegidos, o momento é de rever políticas de backup, autenticação e monitoramento. Os custos de prevenção ainda saem muito mais baratos — e menos traumáticos — do que negociar com um operador de ransomware.
Com informações de Computerworld
