Las autoridades de EE.UU. han acusado a Rami Khaled Ahmed, un ciudadano yemení de 36 años, como sospechoso de ser el administrador de la famosa operación de ransomware Black Kingdom. El FBI se encuentra investigando el caso con la ayuda de la policía neozelandesa.
El individuo, que podría tener su lugar de residencia actual en Yemen, está acusado de haber desarrollado y desplegado el código malicioso contra organizaciones y empresas que poseen servidores, como negocios, escuelas y hospitales en EE.UU.
El grupo de ransomware Black Kingdom, habría llevado a cabo unos 1.500 ataques a servidores de Microsoft Exchange en todo el mundo, aprovechando una vulnerabilidad.
"Según la acusación, desde marzo de 2021 hasta junio de 2023, Ahmed y otros infectaron las redes informáticas de varias víctimas con sede en EE.UU, incluida una empresa de servicios de facturación médica en Encino, una estación de esquí en Oregón, un distrito escolar en Pensilvania y una clínica de salud en Wisconsin", puede leerse en el comunicado de prensa publicado por el Departamento de Justicia de EE.UU.
"El ransomware encriptó los datos de las redes informáticas de las víctimas o afirmó tomar esos datos de las redes. Cuando el malware tuvo éxito, el ransomware creó una nota de rescate en el sistema de la víctima que le indicaba que enviara 10.000 dólares en Bitcoin a una dirección de criptomoneda controlada por un colaborador", añade. Posteriormente, se le pedía a las víctimas que enviaran una prueba de este pago a una dirección de correo electrónico propiedad de Black Kingdom.
Al líder de la banda se le acusa de conspiración, daño internacional a un ordenador protegido y amenaza de daño a un equipo protegido. Si se le declara culpable Ahmed podría enfrentar hasta cinco años en una prisión federal por cada cargo.
Cinco años haciendo el cibermal
El ransomware Black Kingdom fue detectado por primera vez a finales de febrero de 2020 por el investigador de seguridad GrujaRS. Este encripta archivos y agrega el archivo. DEMON a los nombres de archivo de los documentos cifrados.
En un origen, aunque pedían esos 10.000 dólares de rescate, este grupo no llegaba a cifrar los archivos, algo inusual en este tipo de ataques. Ahora, la banda habría 'solucionado sus errores' y sí que lo hace, lo que incrementa el riesgo para aquellas organizaciones que no tengan sus sistemas actualizados.