--- title: "A ironia do ano: Profissionais de cibersegurança são presos por ataques de ransomware." author: "Gabriela P. Torres" date: "2025-12-31 11:48:00-03" category: "Segurança & Privacidade" url: "http://desbugados.scale.press/portal/desbugados/post/2025/12/31/a-ironia-do-ano-profissionais-de-ciberseguranca-sao-presos-por-ataques-de-ransomware/md" --- # Análise Forense de uma Traição Digital **Declaração de Fato:** Em um sistema lógico, espera-se que uma variável com a função `proteger()` não execute uma ação de `atacar()`. No entanto, o sistema humano, por vezes, opera com uma lógica falha. É o que o Departamento de Justiça dos EUA confirmou recentemente: dois profissionais, cujo trabalho era impedir ataques cibernéticos, se declararam culpados de executá-los. Este é o paradoxo de Ryan Goldberg e Kevin Martin, os especialistas que decidiram 'desbugar' a segurança das empresas, mas do lado errado da lei. ## Análise Lógica do Incidente: De Protetores a Predadores A acusação é direta e desprovida de ambiguidade. Ryan Clifford Goldberg, 40, ex-gerente de resposta a incidentes na Sygnia, e Kevin Tyler Martin, 36, ex-negociador de ransomware na Digital Mint, admitiram conspirar para cometer extorsão. A ferramenta escolhida? O ransomware como serviço (RaaS) do grupo **ALPHV/BlackCat**, um dos mais notórios do cenário cibernético, responsável por ataques a gigantes como a UnitedHealth Group. A lógica da operação era perversamente simples: **Se** você possui conhecimento íntimo sobre como as empresas respondem a incidentes de segurança, **então** você sabe exatamente quais são suas vulnerabilidades e como explorá-las.**Se** você é um negociador de ransomware, **então** você entende a psicologia da extorsão e como pressionar as vítimas a pagar.**Resultado:** Entre maio e novembro de 2023, a dupla, junto a um terceiro conspirador não identificado, atacou cinco alvos nos EUA, incluindo uma empresa de dispositivos médicos, uma farmacêutica e um fabricante de drones.O resultado financeiro da operação foi o pagamento de aproximadamente **US$ 1,2 milhão em Bitcoin** por uma das vítimas. O pagamento foi dividido entre os três, que então tentaram lavar os lucros, conforme apontado pelo Departamento de Justiça. ## Desbugando o Jargão: O que é Ransomware como Serviço (RaaS)? Para entender a gravidade do caso, é preciso decodificar o termo **'Ransomware como Serviço' (RaaS)**. Pense nisso como um modelo de 'franquia' para o cibercrime. Um grupo de desenvolvedores (como o ALPHV/BlackCat) cria e mantém o software malicioso (o ransomware) e a infraestrutura de ataque. Em seguida, eles 'alugam' o acesso a essa ferramenta para outros criminosos, conhecidos como 'afiliados'. Neste caso, Goldberg e Martin eram os afiliados. Eles não precisaram criar o ransomware do zero. Apenas contrataram o 'serviço' e, em troca, concordaram em pagar aos operadores do ALPHV/BlackCat uma comissão de 20% sobre os resgates obtidos. É a economia do crime digital operando com um modelo de negócios surpreendentemente similar ao de uma startup de software legítima. ## A Consequência Inevitável: O Veredito Lógico A sentença de Goldberg e Martin está agendada para 12 de março de 2026. A pena máxima para a acusação é de **20 anos de prisão** para cada um. Como afirmou o Procurador-Geral Assistente A. Tysen Duva, da Divisão Criminal do Departamento de Justiça: “Esses réus usaram seu treinamento e experiência sofisticados em cibersegurança para cometer ataques de ransomware – o mesmo tipo de crime que deveriam estar trabalhando para impedir”. Uma declaração factualmente correta e que resume a ironia da situação. O caso não é apenas sobre dois indivíduos. Ele expõe uma vulnerabilidade sistêmica: a confiança que depositamos nos especialistas que contratamos para nos proteger. O acesso privilegiado e o conhecimento profundo das defesas de uma organização são uma faca de dois gumes. ### Sua Caixa de Ferramentas Pós-Incidente A conclusão lógica deste evento não é a desconfiança generalizada, mas sim o reforço de processos de verificação. Para qualquer empresa, o caso serve como um alerta. Aqui estão os próximos passos acionáveis: **Verificação Contínua (Zero Trust):** O princípio de 'nunca confie, sempre verifique' não se aplica apenas a redes, mas a pessoas. Implemente verificações de antecedentes rigorosas e contínuas para funcionários em posições sensíveis.**Segregação de Funções:** Garanta que nenhum indivíduo tenha controle excessivo sobre sistemas críticos. O conhecimento para identificar uma vulnerabilidade não deve ser o mesmo que detém as chaves para explorá-la.**Auditoria e Monitoramento:** Monitore o acesso a dados e sistemas sensíveis. Atividades anômalas por parte de funcionários internos devem gerar alertas imediatos. A premissa de que a ameaça é apenas externa é comprovadamente falsa.O sistema foi 'bugado' por seus próprios desenvolvedores. Agora, a tarefa da comunidade de segurança é aplicar o patch: fortalecer a confiança através de uma verificação implacável. Porque no mundo da cibersegurança, a única variável que não pode ser tolerada é a ambiguidade.