Os programas de ransomware ransomware são geralmente apresentados como uma ameaça externa, vaga e difícil de detectar, associada a grupos criminosos que operam a partir de outros países e uma infraestrutura oculta na rede. No entanto, o caso revelado pelo Departamento de Justiça dos EUA contradiz essa versão. Não se trata de um caso isolado de falha na segurança, mas de profissionais do próprio setor que, segundo a acusação, usaram a sua formação e posição para atacar empresas americanas. A conclusão é tão simples quanto alarmante: a ameaça nem sempre vem de fora, mesmo em uma área tão especializada.
O que se sabe hoje sobre este caso está claramente descrito nos documentos judiciais e nas declarações oficiais. Em 30 de dezembro de 2025, o Departamento de Justiça informou que, na véspera, o Tribunal Federal do Distrito Sul da Flórida aceitou a confissão de culpa de dois homens por conspiração com o objetivo de extorsão em conexão com ataques de ransomware ocorridos em 2023. Ambos se declararam culpados de um crime federal relacionado com a obstrução ou dificultar o comércio por meio de extorsão. A sentença foi marcada para 12 de março de 2026, e eles podem pegar uma pena máxima de 20 anos de prisão.
Quem são eles e qual era o seu papel no setor. De acordo com o FBI, os acusados são Ryan Goldberg, de 40 anos, e Kevin Martin, de 36 anos. Ambos trabalhavam na área de cibersegurança e tinham experiência na gestão de incidentes e processos relacionados com ataques que utilizavam este tipo de ferramentas maliciosas. Goldberg era responsável pela resposta a incidentes numa empresa multinacional do setor, enquanto Martin trabalhava como especialista em negociações relacionadas com este tipo de extorsão numa empresa dedicada à resposta a crimes cibernéticos. Este contexto profissional colocava-os numa posição invulgar para este tipo de crimes.
Modelo de extorsão transformado em serviço. Os documentos do caso descrevem que os ataques foram baseados no ALPHV, também conhecido como BlackCat, um programa de extorsão que funciona como um serviço. Nesse esquema, os desenvolvedores mantêm o software malicioso e a infraestrutura de extorsão, enquanto terceiros afiliados realizam os ataques às vítimas selecionadas. Em troca desse acesso, os acusados concordaram em transferir aos administradores 20% de qualquer resgate recebido. O restante era dividido entre os participantes após a transferência dos fundos para diferentes carteiras digitais, a fim de dificultar o seu rastreamento.
A investigação não se limita a um único incidente. Os documentos registam ataques e tentativas de ataques contra empresas americanas entre abril e dezembro de 2023, com vítimas em setores como saúde, farmacêutico, industrial e tecnológico. No único caso bem-sucedido, o resgate foi de cerca de 1,27 milhões de dólares em criptomoeda no momento do pagamento, conforme indicado no processo. Nos outros casos, as exigências refletidas no processo variaram de centenas de milhares de dólares a cerca de cinco milhões, sempre de acordo com os documentos judiciais.
Provas que corroboram a acusação. O processo baseia-se numa combinação de registos técnicos, análises financeiras e declarações recolhidas pelas forças federais dos EUA. Entre os elementos mencionados estão o acesso a ferramentas relacionadas com a infraestrutura de extorsão e o rastreamento dos movimentos da criptomoeda após o pagamento do resgate. O caso também menciona pesquisas realizadas antes de alguns ataques, incluindo uma consulta sobre uma das vítimas em 4 de maio de 2023, alguns dias antes do incidente subsequente. A isso se soma uma entrevista gravada, na qual um dos acusados confessou o seu envolvimento, bem como registros e outras ações incluídas no caso.
