El Departamento de Justicia de Estados Unidos ha presentado cargos formales contra Rami Khaled Ahmed, un ciudadano yemení de 36 años, identificado como el presunto creador y operador principal del ransomware Black Kingdom. La investigación revela que el malware fue responsable de comprometer aproximadamente 1,500 servidores Microsoft Exchange en todo el mundo, marcando uno de los incidentes más significativos de ciberseguridad en los últimos años.
Campaña de Ransomware: Objetivos y Alcance
Entre marzo de 2021 y junio de 2023, la organización criminal dirigida por Ahmed ejecutó una sofisticada campaña de ataques dirigidos contra diversas instituciones estadounidenses. Los sectores más afectados incluyen centros médicos, instituciones educativas y establecimientos turísticos. Los atacantes exigían un rescate de 10,000 dólares en Bitcoin por la desencriptación de los datos comprometidos.
Análisis Técnico del Malware Black Kingdom
El ransomware fue específicamente diseñado para explotar el conjunto de vulnerabilidades ProxyLogon en Microsoft Exchange Server, que incluye las vulnerabilidades críticas CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065. El investigador de seguridad Marcus Hutchins fue el primero en detectar la actividad maliciosa al identificar web shells sospechosos en los servidores comprometidos.
Vectores de Ataque Adicionales y Metodología
Además de ProxyLogon, los operadores de Black Kingdom aprovecharon la vulnerabilidad CVE-2019-11510 en Pulse Secure VPN para infiltrarse en redes corporativas. Esta combinación de vectores de ataque permitió a los atacantes establecer persistencia en los sistemas comprometidos y maximizar el impacto de sus operaciones maliciosas.
Las autoridades han imputado a Ahmed cargos de conspiración, daño intencional a sistemas protegidos y amenazas de daño informático, que podrían resultar en una sentencia de hasta 15 años de prisión. Sin embargo, su ubicación actual en Yemen presenta desafíos significativos para la justicia estadounidense. Este caso destaca la importancia crítica de mantener actualizados los sistemas de seguridad y implementar robustas estrategias de respuesta ante incidentes para proteger las infraestructuras críticas contra amenazas cibernéticas emergentes.
