Хакеры с бейджами: как сотрудники легальных компаний превратили поддержку клиентов в оружие вымогателей

Хакерские схемы, основанные на инсайдерской информации, — не редкость, но случай с бывшими сотрудниками Sygnia Consulting и DigitalMint обнажил новую грань корпоративной уязвимости. Формально работая в легальных структурах, они использовали служебное положение, чтобы помогать группе ALPHV (BlackCat) в атаках на американские компании.

Двойная жизнь сотрудников

По версии правоохранительных органов, Райан Клиффорд Голдберг и Кевин Тайлер Мартин действовали вместе с неназванным сообщником. Голдберг занимал должность руководителя службы поддержки в израильской компании Sygnia Consulting, а Мартин — в чикагской DigitalMint, специализирующейся на криптовалютных платежах. Оба имели доступ к внутренним системам, что и стало основой для преступной схемы.

Компании подтвердили, что их бывшие сотрудники действительно оказались фигурантами уголовного дела. Руководство подчёркивает, что организациям не было известно о противоправной деятельности подчинённых и что они активно сотрудничают со следствием. Президент DigitalMint Марк Джейсон Гренс уточнил, что следователи не расследуют саму деятельность компании.

"Правоохранители не рассматривают DigitalMint как объект расследования, и мы оказываем полное содействие властям", — заявил президент DigitalMint Марк Джейсон Гренс.

Сценарий инсайдерской атаки

С мая 2023 года обвиняемые использовали конфиденциальные сведения для атак на корпоративные сети. В схемах фигурировало вредоносное ПО ALPHV BlackCat, предназначенное для шифрования данных и вымогательства криптовалют. По данным следствия, под удар попали как минимум пять американских организаций: фармацевтическая компания в Мэриленде, производитель дронов в Вирджинии, проектное бюро и медицинская клиника из Калифорнии.

Особо пострадал производитель медицинского оборудования из Тампы. Из него злоумышленники выжали выкуп в размере $1,3 млн, который позднее передали разработчикам вируса ALPHV. Эти платежи подтвердили прокуроры, указав на точные адреса криптокошельков.

Почему компании становятся уязвимыми для инсайдеров? Причина — слабый контроль за привилегированными доступами и переоценка корпоративной лояльности. В отличие от внешних атак, внутренние угрозы действуют незаметно: легальные учетные данные не вызывают подозрений у систем защиты.

Цепочка вымогательства

ALPHV, или BlackCat, работает по модели RaaS (Ransomware-as-a-Service): разработчики создают инфраструктуру, а партнёры внедряют вирусы и получают часть прибыли. Голдберг и Мартин, обладая знаниями корпоративных систем, обеспечивали точные входы для атаки.

Схема повторялась: проникновение, шифрование, требование выкупа в криптовалюте. Суммы зависели от оборота компании и степени критичности данных. Следователи указывают, что в южном округе Флориды жертвами BlackCat стали более двадцати организаций, включая больницы, юридические фирмы и финансовые учреждения.

Можно ли было предотвратить эти атаки? Да, если бы компании применяли многоуровневую аутентификацию, ограничение по IP и непрерывный аудит доступа. Большинство организаций внедряют такие меры лишь после инцидента, что делает их реактивными, а не превентивными.

Тень Change Healthcare

Группа BlackCat приобрела известность после громкого взлома Change Healthcare, дочерней структуры UnitedHealth, в 2024 году. Тогда были скомпрометированы данные 190 миллионов человек — крупнейшая утечка медицинских сведений в истории США. Чтобы вернуть доступ, компания выплатила вымогателям $22 млн.

Этот случай стал образцом для последующих атак. Киберпреступники увидели, что крупные организации готовы платить, и начали использовать модель давления через утечку персональных данных. Чем больше объём украденных сведений, тем выше шанс получить выкуп.

Что изменилось после Change Healthcare? Усилился надзор со стороны властей, но одновременно выросла активность хакеров, работающих по принципу "один крупный взлом — несколько лет финансирования".

Холодный расчёт криптовымогателей

ALPHV и подобные группы используют криптовалюты как идеальный инструмент анонимности. Транзакции необратимы, а отследить конечного получателя почти невозможно. Это делает даже расследования ФБР затруднительными.

"Вымогатели действуют с военной точностью, а использование криптовалют лишает следствие ключевых рычагов давления", — отметил аналитик по киберугрозам компании CrowdStrike.

Ошибкой многих компаний остаётся поспешная выплата выкупа. Временное "решение" оборачивается новой уязвимостью: преступники видят готовность платить и возвращаются снова. Альтернатива — системное восстановление инфраструктуры и отказ от компромиссов.

Роль Coinbase и отказ платить

В мае генеральный директор Coinbase Брайан Армстронг сообщил, что хакеры попытались шантажировать биржу, требуя $20 млн в биткоинах. Взамен обещали не разглашать клиентские данные. Coinbase отказалась платить, сохранив репутацию и избежав вторичного давления.

Этот случай показал, что отказ от переговоров возможен при наличии резервных копий и оперативной службы реагирования. Урок ясен: готовность к атакам снижает цену риска.

Стоит ли компаниям всегда отказываться платить выкуп? В большинстве случаев — да, но при условии, что есть стратегия восстановления. Без резервов и планов B отказ превращается в паралич бизнеса.

Корпоративная слепота и человеческий фактор

История Голдберга и Мартина — пример того, как внутренние риски недооцениваются даже в IT-компаниях. Отделы кадров и безопасности ориентируются на внешние угрозы, забывая, что доступ сотрудника может быть не менее разрушителен, чем взлом извне.

Часто ошибка начинается с доверия: отсутствие проверки цифровых действий персонала, неограниченные права в системах, слабый контроль за обменом данных. Последствия — утечки, вымогательства, судебные иски. Альтернатива — постоянный мониторинг активности и принцип минимальных привилегий.

Как закрыть инсайдерский вектор

Минимизировать риск можно последовательными шагами.

1. Внедрить систему управления доступом с ролевой моделью.
2. Ограничить права сотрудников только необходимыми функциями.
3. Проводить регулярные аудиты логов и сетевой активности.
4. Использовать поведенческую аналитику для выявления отклонений.
5. Обеспечить юридическую ответственность за нарушение киберполитики.

Каждый пункт требует не денег, а дисциплины: технические средства уже существуют, но компании применяют их выборочно.

Цена невидимой лояльности

Инсайдеры становятся частью корпоративной ткани, поэтому их предательство особенно разрушительно. В случае с Голдбергом и Мартином компании столкнулись не только с утечками, но и с утратой доверия клиентов.

Почему организации продолжают игнорировать внутренние риски? Из-за иллюзии стабильности. Руководители верят, что проблема не коснётся их лично, пока не становится слишком поздно.

Пока следствие изучает детали дела, одно ясно: граница между "своими" и "чужими" в кибербезопасности окончательно стерлась.