Amerykańskie władze federalne oskarżyły Ramiego Khaleda Ahmeda, 36-letniego obywatela Jemenu, o stworzenie i zarządzanie groźnym oprogramowaniem ransomware znanym jako Black Kingdom. To właśnie ten cyberprzestępczy projekt miał odpowiadać za ponad 1500 ataków na serwery Microsoft Exchange w Stanach Zjednoczonych i poza ich granicami. Śledczy uważają, że działania Ahmeda i jego współpracowników miały miejsce między marcem 2021 roku a czerwcem 2023 roku i były wymierzone w różnorodne cele — od firm medycznych po ośrodki edukacyjne i turystyczne. Według dokumentów opublikowanych przez Departament Sprawiedliwości USA, twórca Black Kingdom infekował sieci komputerowe podmiotów zlokalizowanych m.in. w Kalifornii, Oregonie, Pensylwanii i Wisconsin. Każda infekcja kończyła się tym samym schematem: po skutecznym zaszyfrowaniu danych na komputerach ofiar, pojawiała się wiadomość z żądaniem okupu. Ofiary były instruowane, by przesłać równowartość 10 tysięcy dolarów w Bitcoinach na wskazany adres portfela kryptowalutowego, a potwierdzenie wpłaty miało trafić na specjalnie utworzony adres e-mail powiązany z ransomware.
Luki w Exchange punktem wejścia
Cały atak opierał się na wykorzystaniu znanej luki bezpieczeństwa w Microsoft Exchange Server, nazwanej ProxyLogon. To zestaw podatności, który w pierwszym kwartale 2021 roku wywołał globalne poruszenie w środowisku cyberbezpieczeństwa. Zawierał on cztery krytyczne błędy: m.in. możliwość fałszowania żądań serwera i dowolnego zapisu plików, co pozwalało hakerom zyskać pełną kontrolę nad zainfekowanym systemem. Ahmed miał wykorzystać te właśnie luki, by zdalnie instalować złośliwe oprogramowanie i uruchamiać szyfrowanie danych. Sprawa nabrała rozgłosu po tym, jak znany badacz Marcus Hutchins ujawnił, że operatorzy Black Kingdom aktywnie wykorzystywali powłoki internetowe instalowane na serwerach podatnych na ProxyLogon. Niedługo później Microsoft oficjalnie potwierdził, że około 1500 serwerów padło ofiarą tej kampanii ransomware. Był to jeden z bardziej znaczących incydentów z użyciem tej podatności. To nie pierwszy raz, kiedy Black Kingdom pojawia się na radarze służb. Już wcześniej, w czerwcu 2020 roku, to samo oprogramowanie było wykorzystywane w atakach na Pulse Secure VPN, gdzie wykorzystano inną znaną lukę – CVE-2019-11510 – również pozwalającą na uzyskanie nieautoryzowanego dostępu do systemów korporacyjnych.
Zarzuty i możliwy wyrok
Oprócz samego projektowania ransomware, Ahmed został oskarżony o współudział w spisku, umyślne uszkodzenie komputerów objętych ochroną federalną oraz grożenie takim uszkodzeniem. Za każdy z trzech postawionych mu zarzutów grozi do pięciu lat więzienia. W sumie łączny wymiar kary może sięgnąć 15 lat pozbawienia wolności w amerykańskim systemie federalnym. Według Departamentu Sprawiedliwości USA, podejrzany nadal przebywa w Jemenie, który nie posiada umowy o ekstradycji ze Stanami Zjednoczonymi. To znacząco komplikuje proces postawienia Ahmeda przed sądem, choć śledczy zapewniają, że działania w tej sprawie są kontynuowane. Sprawa Black Kingdom to jeden z najbardziej spektakularnych przypadków cyberprzestępczości z ostatnich lat, który pokazuje, jak skutecznie zorganizowane mogą być grupy ransomware. Dodatkowo rzuca światło na stale rosnące zagrożenie związane z lukami w popularnym oprogramowaniu, które – jeśli nie zostaną załatane na czas – mogą stanowić bramę dla przestępców w skali globalnej.
