36-летнему гражданину Йемена, которого считают разработчиком и основным оператором вымогателя Black Kingdom, предъявлены обвинения в проведении 1500 атак на серверы Microsoft Exchange.
Министерство юстиции США сообщает, что Рами Халед Ахмед (Rami Khaled Ahmed) обвиняется в том, что он установил малварь Black Kingdom примерно на 1500 компьютеров в США и других странах, требуя от жертв выкуп в размере 10 000 долларов в биткоинах.
По данным правоохранителей, в период с марта 2021 года по июнь 2023 года Ахмед и его сообщники заразили вымогательским ПО компьютерные сети ряда американских организаций, включая компанию по оказанию медицинских биллинговых услуг, горнолыжный курорт в Орегоне, школьный округ в Пенсильвании и медицинскую клинику в Висконсине.
При этом подчеркивается, что Black Kingdom был разработан специально для эксплуатации уязвимости в Microsoft Exchange, которая позволяла получить первоначальный доступ к целевым компьютерам.
Впервые на эту проблему еще в марте 2021 года обратил внимание ИБ-исследователь Маркус Хатчинс (Marcus Hutchins), обнаруживший веб-шеллы, развернутые операторами Black Kingdom на серверах Exchange, уязвимых перед атаками ProxyLogon.
Напомним, что под именем ProxyLogon скрывается сразу несколько критических уязвимостей в Microsoft Exchange Server: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065. Эти проблемы были раскрыты и начали использоваться хакерами в начале 2021 года.
Вскоре после этого представители Microsoft сообщили, что уязвимые перед ProxyLogon серверы Microsoft Exchange атаковал шифровальщик Black Kingdom, успешно скомпрометировавший около 1500 серверов.
Также известно, что Black Kingdom использовал в атаках и другую уязвимость — CVE-2019-11510. Это критический баг в Pulse Secure VPN, который успешно применялся для взлома корпоративных сетей и развертывания малвари.
Теперь Ахмеду предъявлены заочные обвинения в сговоре, умышленном повреждении защищенных компьютеров и угрозе повреждения защищенных компьютеров. Суммарное наказание по этим обвинениям составляет до 15 лет лишения свободы.
По информации Минюста США, Ахмед проживает в Йемене, и, по всей видимости, недоступен для американского правосудия.
