Міністерство юстиції США оприлюднило результати розслідування щодо масштабної кіберзлочинної операції, пов’язаної з програмою-вимагачем Black Kingdom. Головним підозрюваним у справі є 36-річний громадянин Ємену Рамі Халед Ахмед, якого вважають розробником та оператором цього шкідливого програмного забезпечення. За даними слідства, внаслідок його діяльності було скомпрометовано понад 1500 серверів Microsoft Exchange по всьому світу.
Хронологія та масштаби кібератак
Активна фаза кампанії тривала з березня 2021 по червень 2023 року. Зловмисники цілеспрямовано атакували критично важливу інфраструктуру США, включаючи медичні заклади, освітні установи та об’єкти туристичної галузі. За розблокування зашифрованих даних хакери вимагали викуп у розмірі 10 000 доларів США, який мав бути сплачений у криптовалюті Bitcoin.
Технічний аналіз векторів атаки
Основним вектором проникнення стала експлуатація критичних вразливостей Microsoft Exchange Server, відомих під загальною назвою ProxyLogon. Цей комплекс включає чотири вразливості: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 та CVE-2021-27065. Першим на активність шкідливого ПЗ звернув увагу дослідник кібербезпеки Маркус Хатчінс, виявивши підозрілі веб-шелли на компрометованих серверах.
Додаткові методи компрометації
Окрім ProxyLogon, зловмисники активно експлуатували вразливість CVE-2019-11510 у системах Pulse Secure VPN. Ця критична вразливість дозволяла отримувати несанкціонований доступ до корпоративних мереж та поширювати шкідливе програмне забезпечення. Комбінація різних векторів атаки суттєво підвищувала ефективність злочинної операції.
Наразі Рамі Халеду Ахмеду висунуто звинувачення у змові, навмисному пошкодженні захищених комп’ютерних систем та погрозах їх пошкодження. Максимальне покарання за сукупністю злочинів може сягати 15 років позбавлення волі. Проте, враховуючи перебування підозрюваного на території Ємену, його притягнення до відповідальності залишається складним завданням для американської системи правосуддя. Цей випадок демонструє зростаючу необхідність міжнародної співпраці у боротьбі з кіберзлочинністю та важливість своєчасного оновлення систем безпеки.
