Ryan Goldberg era gerente de resposta a incidentes na Sygnia, uma empresa de cibersegurança que atende organizações da Fortune 100. Kevin Martin trabalhava como negociador de ransomware na DigitalMint, empresa especializada em intermediar pagamentos de resgate em criptomoedas. Os dois eram pagos para proteger empresas contra ataques cibernéticos. Em dezembro de 2025, ambos se declararam culpados por operar como afiliados do ALPHV/BlackCat e atacar cinco empresas americanas entre abril e dezembro de 2023.

Os atacantes não eram hackers anônimos operando de outro continente. Eram profissionais empregados em empresas respeitadas do setor de defesa cibernética. Goldberg entendia de playbooks de resposta a incidentes. Martin conhecia de perto as táticas de negociação que empresas usam ao lidar com ransomware. E usaram esse conhecimento para operar do outro lado.

Quem são Ryan Goldberg e Kevin Martin

Ryan Clifford Goldberg, 40 anos, morava na Geórgia e ocupava o cargo de gerente de resposta a incidentes na Sygnia. A empresa foi fundada por veteranos de inteligência militar israelense e é conhecida por seus serviços de contenção e remediação de ataques para grandes corporações. O trabalho de Goldberg consistia exatamente em ajudar organizações a conter ataques cibernéticos.

Kevin Tyler Martin, 36 anos, morava no Texas e atuava como negociador de ransomware na DigitalMint, uma empresa de Chicago especializada em negociação e pagamento de resgates em criptomoedas. Martin era a pessoa chamada quando uma empresa decidia negociar com atacantes. Ele conhecia valores típicos de resgate, prazos, e as margens de negociação que grupos criminosos costumam aceitar.

Um terceiro conspirador, não identificado publicamente pelo Departamento de Justiça (DOJ), também trabalhava na DigitalMint.

O próprio DOJ destacou em seu comunicado oficial que os três réus "trabalhavam na indústria de cibersegurança, dando-lhes habilidades especializadas em proteger sistemas de computação, que eles exploraram para cometer exatamente os crimes que deveriam ter prevenido."

Como funciona o ALPHV/BlackCat

O ALPHV/BlackCat surgiu em novembro de 2021 e se tornou um dos grupos de ransomware mais prolíficos, ficando atrás apenas do LockBit em volume de ataques. O grupo operava no modelo ransomware-as-a-service (RaaS): os administradores desenvolvem e mantêm o malware, a infraestrutura de comando e controle, e a plataforma de extorsão. Afiliados executam os ataques.

O acordo entre Goldberg, Martin e os administradores do ALPHV seguia a divisão padrão: 80% do resgate ficava com os afiliados, 20% ia para os administradores. Em troca, os afiliados recebiam acesso ao ransomware, à plataforma de extorsão baseada em Tor e ao suporte técnico para conduzir as operações.

Segundo um alerta conjunto da CISA e do FBI, o ALPHV/BlackCat atacou mais de 1.000 vítimas globalmente. Os afiliados tipicamente comprometiam redes explorando vulnerabilidades em serviços expostos à internet, exfiltravam dados sensíveis e depois implantavam o ransomware nos sistemas críticos. Em alguns casos, pulavam a etapa de criptografia e partiam direto para extorsão com base nos dados roubados.

As cinco empresas atacadas

Entre abril e dezembro de 2023, Goldberg, Martin e o terceiro conspirador atacaram cinco empresas americanas:

  • Uma empresa médica na Flórida
  • Uma farmacêutica em Maryland
  • Um consultório médico na Califórnia
  • Uma empresa de engenharia na Califórnia
  • Um fabricante de drones na Virgínia

Apenas o ataque à empresa médica da Flórida, em maio de 2023, resultou em pagamento de resgate: aproximadamente US$ 1,2 milhão em Bitcoin. Os três dividiram a parte de 80% entre si e lavaram o dinheiro por diversos meios. Nos outros quatro ataques, as vítimas não pagaram.

Os prejuízos totais, contudo, superaram US$ 9,5 milhões segundo os acordos de confissão assinados por ambos. Cada réu concordou em devolver US$ 342 mil como parte da confissão.

O insider threat no setor de cibersegurança

Existe algo particularmente perturbador neste caso. Goldberg e Martin não eram outsiders que aprenderam hacking sozinhos. Eram profissionais ativos em empresas que vendem exatamente o serviço de proteção contra o tipo de ataque que eles executavam.

Goldberg tinha acesso a metodologias de resposta a incidentes, ferramentas de análise forense e, provavelmente, a detalhes sobre como empresas detectam e contêm ataques. Martin tinha visão direta de como vítimas reagem a demandas de resgate: quais argumentos funcionam, quanto as empresas estão dispostas a pagar, e quando cedem.

O agente especial do FBI Brett Skiles resumiu a lição ao recomendar que organizações "exerçam devida diligência ao contratar terceiros para resposta a incidentes de ransomware."

Em 2024, 83% das organizações reportaram ao menos um incidente interno segundo o Insider Threat Report da Cybersecurity Insiders. O relatório do Ponemon Institute de 2025 coloca o custo médio anual desses incidentes em US$ 17,4 milhões por organização, e o Data Breach Investigations Report da Verizon aponta que 89% dos casos maliciosos são motivados por ganho financeiro pessoal. Goldberg e Martin encaixam-se nessa estatística com precisão cirúrgica.

A Sygnia demitiu Goldberg assim que soube da investigação. A DigitalMint declarou que as ações de Martin foram "realizadas sem conhecimento, permissão ou envolvimento da empresa" e cooperou integralmente com o DOJ.

O desmantelamento do ALPHV pelo FBI

Em dezembro de 2023, o mesmo período do último ataque do trio, o FBI conduziu uma operação multinacional para desmantelar a infraestrutura do ALPHV/BlackCat. O bureau infiltrou os servidores do grupo, monitorou operações silenciosamente e obteve chaves de descriptografia. Com essas chaves, o FBI desenvolveu uma ferramenta de recuperação que ajudou mais de 500 vítimas a recuperar dados sem pagar resgate, evitando aproximadamente US$ 99 milhões em pagamentos.

O ALPHV tentou reagir. Retomou brevemente seu site na darknet com uma mensagem oferecendo 90% de comissão para afiliados que continuassem operando. Mas o grupo não sobreviveu. Em março de 2024, após o ataque à Change Healthcare, os líderes do ALPHV executaram um aparente exit scam, embolsando o resgate e abandonando seus próprios afiliados. O grupo foi encerrado por dentro, não por uma segunda operação policial.

Goldberg e Martin se declararam culpados de conspiração para obstruir comércio por meio de extorsão, sob o título 18, seção 1951(a) do código federal americano. A pena máxima é de 20 anos de prisão para cada um. A sentença está prevista para 12 de março de 2026.

Conclusão

O caso Goldberg e Martin não é só uma história de crime cibernético. É um lembrete de que o setor de segurança da informação lida com uma vulnerabilidade que nenhum firewall resolve: a confiança depositada em quem tem acesso privilegiado.

Empresas que contratam serviços de resposta a incidentes e negociação de ransomware entregam, por necessidade, informações sensíveis sobre suas vulnerabilidades, seus limites financeiros e suas estratégias de defesa. Quando essas informações caem em mãos erradas, e essas mãos pertencem a quem deveria estar ajudando, o dano vai além do financeiro.

A sentença de 12 de março vai definir o precedente para casos semelhantes. Até lá, a recomendação do FBI permanece: verificar backgrounds, exigir transparência e tratar a contratação de serviços de segurança com o mesmo rigor aplicado a qualquer fornecedor com acesso a dados críticos.

Referências pesquisadas nesta publicação