安杰洛·约翰·马蒂诺三世走进谈判室时,受害企业把他当救星。这位41岁的网络安全老手曾在Booz Allen Hamilton、Tracepoint、TRM Labs等机构任职,履历光鲜。但他同时拥有另一个身份——ALPHV勒索软件组织成员账号的实际使用者。美国司法部7月10日通报,马蒂诺在担任DigitalMint勒索软件谈判顾问期间,与BlackCat成员合谋向5家美国企业勒索共计7530万美元,折合人民币约5.11亿元,被判处70个月监禁。
马蒂诺的手法堪称“自己与自己谈判”。他利用谈判顾问身份获取受害企业的谈判底线和网络保险赔付上限,再把这些机密信息传递给暗中勾结的BlackCat成员,指导对方索要尽可能高的赎金。美国司法部刑事司助理部长A. Tysen Duva描述了受害者的处境:“他们的企业几乎被摧毁,而他们花钱聘请来帮助自己的专家,却反过来把他们交给勒索软件团伙。”
2023年4月至9月间,5家企业陆续支付赎金。一家非营利机构支付约2680万美元,一家金融服务公司支付约2570万美元,一家酒店企业支付约1650万美元。法院公开的聊天记录还原了马蒂诺的操作细节——他在与酒店企业谈判时,告诉BlackCat成员:“保险公司目前只愿意批准较低金额赔付。”紧接着指示:“继续拒绝我们的报价,等我弄清楚他们最高愿意支付多少钱后再告诉你。”与此同时,他在客户可见的公开谈判窗口中对黑客写道:“我们已经因为停产损失惨重,今年所有贷款都会以双倍利率续贷。我们现在最多只能给你们100万美元,这是一个非常认真的报价。”按照事先安排,BlackCat成员回复称:“那点钱还是留着支付以后泄露数据带来的罚款和诉讼吧。时间不多了,我们知道你们能付多少钱,也知道你们的保险情况,别再浪费时间了。”最终这家酒店支付了约1650万美元赎金。另外两家企业也分别支付了610万美元和21.3万美元。
马蒂诺并非单独作案。他与前DigitalMint勒索谈判顾问Kevin Tyler Martin、前Sygnia应急响应经理Ryan Clifford Goldberg共同策划实施了多起攻击。2023年4月至11月期间,三人利用BlackCat勒索软件攻击了另外5家美国企业。一家医疗企业于2023年5月支付近130万美元赎金,三人瓜分了这笔钱。其余4家公司的勒索未成功。Goldberg和Martin已于去年12月认罪,今年4月分别被判处4年监禁。马蒂诺则于今年3月自首,缴纳50万美元保释金后获释,4月承认共谋敲诈勒索罪,最高面临20年刑期。法院将在9月17日再次开庭确定赔偿金额。
FBI网络部门助理主任Brett Leatherman用一句话总结此案性质:“安杰洛·马蒂诺出卖了自己本应代表的受害者,将他们的谈判底牌交给BlackCat,从而抬高赎金,并让自己从中获利。”检方在量刑意见书中给出了更严厉的定性——将马蒂诺形容为“双面间谍”,“一方面尽可能扩大客户损失,另一方面帮助支付其报酬的网络犯罪分子获取更多利益”,强调这“不是偶然犯罪,也不是一时冲动,而是一场长期、有计划地滥用受托关系的犯罪,其唯一目的就是贪婪。”
DigitalMint声称对马蒂诺的行为毫不知情。公司发言人接受CyberScoop采访时表示,美国司法部2025年4月通知公司正在调查马蒂诺后,公司立即将其解雇并暂停所有系统访问权限。发言人称公司一直按照行业标准执行背景调查和合规审查,但马蒂诺通过未经授权的私人通信渠道与BlackCat成员联系,公司对此并不知情。至于是否已向受影响客户退还服务费用,公司以保密义务为由未作回应。
这起案件暴露了勒索软件谈判行业的结构性风险。谈判过程高度保密,外界几乎无法监督,一旦谈判人员与攻击者暗中勾结,受害企业将陷入完全的信息不对称。ALPHV(BlackCat)勒索软件自2021年底首次出现以来,曾多次攻击关键基础设施。美国司法部于2023年12月查封了该组织部分成员运营的网站,FBI同时开发出解密工具帮助数百名受害者恢复系统,累计避免支付约9900万美元赎金。执法部门目前已查封马蒂诺价值约1000万美元的资产,包括一套估值168万美元的海景住宅、一套估值39.6万美元的独栋住宅、多个加密货币钱包、多辆汽车、一辆餐车和一艘29英尺豪华钓鱼船。
热门跟贴