前勒索软件谈判代表因BlackCat攻击被判4年

执行摘要

两名网络安全事件响应公司Sygnia和DigitalMint的前员工因参与针对美国公司的BlackCat（ALPHV）勒索软件攻击而被判处四年联邦监狱。根据BleepingComputer引用的法庭文件，这些个人作为勒索软件谈判代表为受害组织工作，同时向BlackCat团伙提供敲诈策略建议，并洗钱超过1800万美元的赎金支付。该案突显了事件响应生态系统内部的一个关键内部威胁。

技术分析

被定罪的个人作为双重代理人运作：他们受雇于合法的IR公司帮助受害者谈判赎金要求，同时向BlackCat关联者提供有关受害者支付意愿和最佳赎金金额的情报。他们还通过一系列空壳实体的网络促进加密货币洗钱，将比特币转换为威胁行为者的法定货币。美国司法部（DOJ）表示，这对夫妇在计划期间处理了超过100笔赎金支付，总计约1800万美元。BlackCat，也称为ALPHV，作为一个勒索软件即服务（RaaS）平台运作，其中关联者部署恶意软件并与核心团队分享收益。判决遵循了DOJ对勒索软件助长者的更广泛打击，包括2023年对BlackCat的暗网泄露网站的查封和2024年对一个关键关联者的逮捕。

缓解措施与建议

组织应彻底审查第三方事件响应和谈判公司，包括背景调查和利益冲突披露。在活跃的勒索软件事件期间，受害者应保持谈判团队与可能与威胁行为者有先前关系的任何外部顾问之间的严格分离。DOJ建议公司立即向执法部门报告勒索软件攻击，而不是仅依赖私人谈判代表。事件后对谈判代表的通信和支付轨迹进行审计可以帮助发现勾结。