Министерство юстиции США выдвинуло серьезные обвинения против 36-летнего гражданина Йемена Рами Халеда Ахмеда, которого считают создателем и главным оператором вредоносного программного обеспечения Black Kingdom. По данным следствия, злоумышленник причастен к компрометации около 1500 серверов Microsoft Exchange по всему миру.
Масштабная кампания по распространению вымогательского ПО
В период с марта 2021 по июнь 2023 года группировка под руководством Ахмеда провела серию целенаправленных атак на различные организации в США. Среди пострадавших оказались медицинские учреждения, образовательные организации и туристические объекты. За расшифровку данных злоумышленники требовали выкуп в размере 10 000 долларов в биткоинах.
Технические особенности атак Black Kingdom
Вредоносное ПО Black Kingdom было специально разработано для эксплуатации критических уязвимостей в Microsoft Exchange Server, известных как ProxyLogon. Этот набор уязвимостей включает CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065. Первым на активность вредоносного ПО обратил внимание исследователь безопасности Маркус Хатчинс, обнаруживший подозрительные веб-шеллы на скомпрометированных серверах.
Дополнительные векторы атак
Помимо эксплуатации ProxyLogon, операторы Black Kingdom также использовали уязвимость CVE-2019-11510 в Pulse Secure VPN. Эта критическая брешь в безопасности позволяла злоумышленникам получать несанкционированный доступ к корпоративным сетям и распространять вредоносное ПО.
В настоящее время Ахмеду предъявлены обвинения в сговоре, умышленном повреждении защищенных компьютеров и угрозе их повреждения. Максимальное наказание по совокупности обвинений может составить до 15 лет лишения свободы. Однако, поскольку обвиняемый находится в Йемене, его привлечение к ответственности представляется затруднительным для американского правосудия.
