文章总结： 两名美国前网络安全专家认罪，利用专业知识作为BlackCat勒索软件附属成员攻击医疗企业并勒索赎金。此案揭示了高级内部威胁对行业信任的破坏。建议企业加强对第三方服务商的背景审查及权限管控，防御者需警惕具备专业知识的内部人员转变为攻击者所带来的高风险。 综合评分： 86 文章分类： 安全大事件,网络安全,恶意软件

内部威胁：网络安全从业者转变为 BlackCat 勒索软件附属成员

原创

mayfly

独眼情报

2025年12月31日 16:15 湖北

根据最新法庭文件和媒体报道，两名美国网络安全专家——乔治亚州的Ryan Goldberg（40岁）和德克萨斯州的Kevin Martin（36岁）——最近在佛罗里达南区联邦法院认罪。他们承认在2023年利用专业技能，作为ALPHV/BlackCat勒索软件团伙的附属成员，对几家美国公司发动攻击并勒索钱财。这件事让人震惊，因为这些人本来是负责帮企业防御和应对网络攻击的，却反过来干起了黑客的勾当，暴露了网络安全行业里最棘手的「内部威胁」。

涉案人员背景

• Ryan Goldberg：曾是知名网络安全公司Sygnia的事件响应主管，专攻数字取证和攻击应对。公司一发现情况就立刻开除了他。
• Kevin Martin：曾在DigitalMint担任勒索软件谈判专家，这家公司专门帮受害者处理加密货币支付和谈判。Martin也被公司解雇，DigitalMint强调这些行为完全是个人所为，与公司无关。
• 还有一个未公开姓名的共谋者，据信也与DigitalMint有关联，可能就是拉Goldberg入伙的那个人。

案情经过

从2023年4月到12月，这三人作为BlackCat的附属成员，入侵多家美国公司网络，部署勒索软件，加密系统并窃取数据。他们主要瞄准医疗健康领域，比如佛罗里达的一家医疗设备公司（成功勒索约120万美元比特币）、马里兰的一家制药公司、加州的一家诊所等。总共尝试勒索数百万美元，但只有部分成功。

他们跟BlackCat的协议是：赎金到手后，上缴20%给团伙核心，剩下80%自己留着。整个过程用暗网沟通、加密货币洗钱，操作很专业——毕竟他们就是干这行的。

Goldberg在FBI审讯时承认，自己主要是为了还个人债务才干这个。两人最近认罪，只承认一项「通过敲诈干扰商业」的共谋罪，最高可能判20年，量刑定在2026年3月12日。

为什么这么严重

最让人寒心的是，他们滥用了「防御者」的身份。Goldberg知道企业怎么快速响应攻击，Martin熟悉谈判底线和保险公司流程。这种内部知识让他们选目标、定赎金都精准得多，受害者支付意愿更高。

BlackCat是臭名昭著的RaaS（勒索软件即服务）团伙，用Rust语言写恶意软件，曾经搞出Change Healthcare大案子，后来在2024年被执法部门重创后基本消失。

这件事的冲击

这案子彻底动摇了行业信任。企业花大钱请外部专家帮忙止损，结果可能「引狼入室」。以后公司对第三方安全服务商的背景审查和权限控制肯定会更严。

对防御来说，这不是普通的内部员工叛变，而是整个行业级别的威胁——攻击者懂的比你还多，防起来太难了。

另一方面，美国司法部和FBI能让这些反侦察高手认罪，说明他们在追踪加密货币和暗网活动上越来越强。

总之，这是个大教训：网络犯罪的暴利甚至能让「守护者」变成掠夺者。企业得重新审视对外部供应商的信任，加强审计和监控。防御者们不光要挡外敌，还得提防自己人里的「叛徒」。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：独眼情报 mayfly《内部威胁：网络安全从业者转变为 BlackCat 勒索软件附属成员》