Das US-Justizministerium hat eine bedeutende Entwicklung im Kampf gegen Cyberkriminalität bekanntgegeben: Ein 36-jähriger jemenitischer Staatsbürger wurde als mutmaßlicher Entwickler der Black Kingdom Ransomware identifiziert und angeklagt. Rami Khaled Ahmed soll für Cyberangriffe auf etwa 1.500 Microsoft Exchange Server weltweit verantwortlich sein.
Systematische Ransomware-Kampagne gegen kritische Infrastruktur
Zwischen März 2021 und Juni 2023 führte die von Ahmed geleitete Gruppe gezielte Angriffe auf verschiedene US-Organisationen durch. Die Kampagne richtete sich vorwiegend gegen Gesundheitseinrichtungen, Bildungsinstitutionen und touristische Infrastrukturen. Die Cyberkriminellen forderten für die Entschlüsselung der kompromittierten Systeme Lösegeldzahlungen in Höhe von 10.000 US-Dollar in Bitcoin.
Technische Analyse der Black Kingdom Attacken
Die Black Kingdom Malware wurde spezifisch entwickelt, um die als ProxyLogon bekannten kritischen Schwachstellen in Microsoft Exchange Server auszunutzen. Diese Schwachstellen umfassen die CVE-Kennungen CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065. Der renommierte Sicherheitsforscher Marcus Hutchins entdeckte als Erster verdächtige Webshells auf kompromittierten Servern.
Erweiterte Angriffsvektoren und Methodik
Neben ProxyLogon nutzten die Angreifer auch die Schwachstelle CVE-2019-11510 in Pulse Secure VPN-Systemen aus. Diese Sicherheitslücke ermöglichte es den Cyberkriminellen, sich unauthorisierten Zugang zu Unternehmensnetzwerken zu verschaffen und ihre Schadsoftware zu verbreiten. Die Kombination mehrerer Angriffsvektoren unterstreicht die technische Komplexität der Kampagne.
Die US-Staatsanwaltschaft hat gegen Ahmed Anklagen wegen Verschwörung, vorsätzlicher Beschädigung geschützter Computer und Androhung von Computerschäden erhoben. Bei einer Verurteilung drohen ihm bis zu 15 Jahre Haft. Die Strafverfolgung gestaltet sich jedoch aufgrund seines Aufenthalts im Jemen als komplex. Dieser Fall verdeutlicht die anhaltenden Herausforderungen bei der internationalen Bekämpfung von Cyberkriminalität und unterstreicht die Notwendigkeit verstärkter globaler Zusammenarbeit im Bereich der Cybersicherheit.
