Ένας 36χρονος υπήκοος της Υεμένης, ο οποίος πιστεύεται ότι είναι ο προγραμματιστής και ο πρωταρχικός χειριστής του Ransomware «Black Kingdom», κατηγορήθηκε από τις Ηνωμένες Πολιτείες για τη διεξαγωγή 1.500 επιθέσεων σε διακομιστές ανταλλαγής της Microsoft.
Ο ύποπτος, Rami Khaled Ahmed, κατηγορείται ότι αναπτύσσει το κακόβουλο λογισμικό Black Kingdom σε περίπου 1.500 υπολογιστές στις Ηνωμένες Πολιτείες και στο εξωτερικό, απαιτώντας πληρωμές λύτρων ύψους $ 10.000 στο Bitcoin.
“Σύμφωνα με το κατηγορητήριο, από τον Μάρτιο του 2021 έως τον Ιούνιο του 2023, ο Ahmed και άλλοι μολύνθηκαν δίκτυα ηλεκτρονικών υπολογιστών πολλών θυμάτων που βασίζονται στις ΗΠΑ, συμπεριλαμβανομένης μιας εταιρείας ιατρικών υπηρεσιών χρέωσης στο Encino, ενός σκι στο Όρεγκον, μιας σχολικής περιοχής στην Πενσυλβανία και μιας κλινικής υγείας στο Ουισκόνσιν”. εξηγεί μια ανακοίνωση του Υπουργείου Δικαιοσύνης των ΗΠΑ.
“Όταν το κακόβουλο λογισμικό ήταν επιτυχημένο, το ransomware δημιούργησε τότε ένα σημείωμα λύτρας στο σύστημα του θύματος που κάλεσε το θύμα να στείλει το Bitcoin αξίας 10.000 δολαρίων σε μια διεύθυνση κρυπτογράφησης που ελέγχεται από έναν συν-συνωμότη και να στείλει την απόδειξη αυτής της πληρωμής σε μια διεύθυνση ηλεκτρονικού ταχυδρομείου Black Kingdom”, αναφέρει ένα άλλο μέρος της ανακοίνωσης.
Το US DOJ υπογραμμίζει ότι ο Ahmed σχεδίασε το Black Kingdom Ransomware για να εκμεταλλευτεί μια ευπάθεια στην ανταλλαγή της Microsoft για αρχική πρόσβαση σε στοχευμένους υπολογιστές.
Αυτό αναφέρθηκε για πρώτη φορά τον Μάρτιο του 2021 από τον ερευνητή Marcus Hutchins, ο οποίος ανακάλυψε τα κελύφη ιστού που αναπτύχθηκε από τους χειριστές Ransomware Black Kingdom σε διακομιστές ανταλλαγής ευάλωτων σε επιθέσεις πληροξυγκόν.
Το ελάττωμα του Proxylogon αναφέρεται σε ένα σύνολο κρίσιμων τρωτών σημείων στο Microsoft Exchange Server που αποκαλύφθηκε για πρώτη φορά και εκμεταλλεύτηκε στις αρχές του 2021.
Τα ελαττώματα είναι CVE-2021-26855 (πλαστογράφηση αιτήματος διακομιστή που χρησιμοποιείται για την αρχική πρόσβαση), CVE-2021-26857 (ανασφαλής αποταμιευτικοποίηση που χρησιμοποιείται για την κλιμάκωση των προνομίων στο σύστημα) και το CVE-2021-26858 και το CVE-2021-27065 (αρχείο αρχείου που χρησιμοποιείται για τα κελύφη ιστού στα servers).
Σύντομα, η Microsoft επιβεβαίωσε ότι το Black Kingdom είχε θέσει σε κίνδυνο 1.500 διακομιστές ανταλλαγής με την αξιοποίηση των ελαττωμάτων πληροξυγκόν.
Τον Ιούνιο του 2020, αποκαλύφθηκε ότι το Black Kingdom στοχεύει στο CVE-2019-11510, μια κρίσιμη ευπάθεια που επηρεάζει το Pulse Secure VPN, για να παραβιάσει τα εταιρικά δίκτυα και να αναπτύξει τα ντουλάπια αρχείων τους.
Για τις επιθέσεις του Black Kingdom, ο Ahmed αντιμετωπίζει τώρα κατηγορίες για συνωμοσία, σκόπιμη ζημιά σε έναν προστατευμένο υπολογιστή και απειλητική ζημιά σε προστατευμένο υπολογιστή.
Εάν καταδικαστεί, ο Ahmed αντιμετωπίζει μια νόμιμη μέγιστη ποινή πέντε ετών σε ομοσπονδιακή φυλακή για κάθε μέτρηση, συνολικά έως 15 χρόνια.
Οι ΗΠΑ DOJ δηλώνουν ότι ο Ahmed πιστεύεται ότι κατοικεί στην Υεμένη.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
