Un hombre del sur de Florida se declaró culpable de conspirar con múltiples afiliados de ransomware para cometer ataques y extorsionar a las mismas empresas estadounidenses que representó como negociador de ransomware para DigitalMint en 2023, dijo el lunes el Departamento de Justicia.

Angelo John Martino III compartió información confidencial sobre las posiciones de negociación interna de las organizaciones víctimas y los límites de las pólizas de seguro que obtuvo de su trabajo como negociador de ransomware para obtener el pago máximo de rescate para él y otros afiliados de BlackCat, según su acuerdo de declaración de culpabilidad.

Cinco de las víctimas de Martino contrataron a DigitalMint, que asignó al hombre de 41 años para llevar a cabo negociaciones sobre ransomware en nombre de sus clientes, una posición poco común que aprovechó para jugar en ambos lados. DigitalMint, que no está acusada de ningún conocimiento o participación en los crímenes, despidió a Martino el día después de que el Departamento de Justicia informara a la empresa que lo estaban investigando en abril de 2025.

Las cinco víctimas con sede en EE. UU. que contrataron a DigitalMint y, sin saberlo, recurrieron a Martino para supuestamente llevar a cabo negociaciones de ransomware con él y sus co-conspiradores incluyen una organización sin fines de lucro y empresas de las industrias hotelera, de servicios financieros, minorista y médica. Las cinco víctimas pagaron un rescate.

Los fiscales dijeron anteriormente que Martino ayudó a los cómplices a extorsionar un total de 75,3 millones de dólares en pagos de rescate, incluido un pago de casi 26,8 millones de dólares de la organización sin fines de lucro no identificada y un pago de casi 25,7 millones de dólares de la compañía de servicios financieros no identificada.

Martino también admitió haber conspirado con Kevin Tyler Martin, otro exnegociador de ransomware en DigitalMint, y Ryan Clifford Goldberg, exgerente de respuesta a incidentes en Sygnia, para implementar el ransomware BlackCat, también conocido como ALPHV, contra cinco empresas estadounidenses más entre abril y noviembre de 2023.

Goldberg y Martin se declararon culpables en diciembre de participar en una serie de ataques de ransomware y su sentencia está programada para el 30 de abril.

“Los clientes de Angelo Martino confiaron en él para responder a las amenazas de ransomware y ayudar a frustrarlas y remediarlas en nombre de las víctimas”, dijo en un comunicado A. Tysen Duva, fiscal general adjunto de la División Penal del Departamento de Justicia. «En cambio, los traicionó y comenzó a lanzar él mismo ataques de ransomware ayudando a los ciberdelincuentes y dañando a las víctimas, a su propio empleador y a la propia industria de respuesta a incidentes cibernéticos».

El caso contra Martino muestra un ejemplo extremo, aunque raro, del punto más oscuro de la negociación de ransomware como práctica. Los peligros de la negociación de ransomware son excesivos y estas negociaciones de canal secundario, que en gran medida no se analizan, pueden salir mal por varias razones.

Los funcionarios compartieron una serie de charlas que Martino mantuvo con cómplices y sus víctimas que ejemplifican hasta dónde llegó para traicionar a los clientes de DigitalMint y empoderar a sus cómplices con consejos cruciales para una estrategia de negociación exitosa.

DigitalMint no respondió a una solicitud de comentarios sobre la declaración de culpabilidad de Martino.

Charlas de negociación ejemplifican los crímenes de Martino

Durante una respuesta a un incidente con una de sus víctimas, Martino le dijo a un afiliado de BlackCat que la compañía de seguros de la compañía «sólo estaba aprobando cuentas pequeñas», según su acuerdo de declaración de culpabilidad. «Sigue negando nuestras ofertas y te lo haré saber una vez que descubra el máximo[y] Quiero pagar”, añadió.

«No sabemos cómo surgió su demanda, pero estamos perdiendo dinero operativamente y todos nuestros préstamos se nos van a entregar este año al doble de las tasas de interés», dijo Martino en un chat de negociación visible para DigitalMint y la organización víctima en la industria hotelera. «Ahora podemos ofrecerle 1 millón de dólares, lo cual es una oferta muy seria».

Siguiendo las instrucciones de Martino, el cómplice de BlackCat respondió: «Bueno, puede conservarlo para las sanciones y demandas que se le presenten en caso de que lo expongamos. El tiempo corre, sabemos cuánto puede pagar. Comuníquese con su seguro. También sabemos de ellos. Deje de perder el tiempo».

La empresa víctima finalmente pagó un rescate por valor de casi 16,5 millones de dólares en ese momento para recibir un descifrador y el compromiso de la filial de BlackCat de no publicar datos robados. Las otras dos víctimas que Martino representó a través de DigitalMint en ese momento pagaron 6,1 millones de dólares y 213.000 dólares de rescate por compromisos similares.

“Las víctimas de ransomware acudieron a este acusado en busca de ayuda, y él las vendió desde adentro”, dijo en un comunicado Jason A. Reding Quiñones, fiscal federal para el Distrito Sur de Florida.

Martino recibió una parte de los pagos del ransomware por su participación en la conspiración.

Las autoridades han confiscado 10 millones de dólares en activos y carteras de criptomonedas controladas por Martino. Las autoridades confiscaron varios vehículos, un camión de comida y un barco pesquero de lujo de 29 pies que obtuvo con las ganancias de sus delitos.

Los funcionarios también confiscaron dos propiedades propiedad de Martino en Nokomis, Florida, incluida una casa frente a la bahía con un valor estimado de 1,68 millones de dólares y una segunda casa unifamiliar con un valor estimado de 396.000 dólares.

Martino se entregó en marzo a los alguaciles estadounidenses en Miami y fue liberado con una fianza de 500.000 dólares.

«El FBI trabaja todos los días para desmantelar el ecosistema de ransomware», dijo en un comunicado Brett Leatherman, subdirector de la División Cibernética del FBI. «Eso incluye detener a facilitadores clave como Angelo Martino, quien abusó de la confianza depositada en él como negociador del sector privado al colaborar con delincuentes de ransomware».

ALPHV/BlackCat era un notorio grupo de ransomware y extorsión vinculado a una serie de ataques a proveedores de infraestructura crítica. La variante de ransomware apareció por primera vez a finales de 2021 y luego se utilizó en decenas de ataques a organizaciones del sector de la salud.

El grupo detrás de la cepa de ransomware también se atribuyó la responsabilidad del ataque de febrero de 2024 a la filial de UnitedHealth Group, Change Healthcare, que pagó un rescate de 22 millones de dólares y se convirtió en la mayor filtración de datos de atención médica registrada, comprometiendo los datos de alrededor de 190 millones de personas.

Martino se declaró culpable de conspiración para obstruir, retrasar o afectar el comercio o el movimiento de cualquier artículo o mercancía en el comercio mediante extorsión. Se enfrenta a hasta 20 años de prisión federal y su sentencia está prevista para el 9 de julio.

Puede leer el acuerdo de culpabilidad de Martino a continuación.