Больницы, школы, бизнес легли за секунды, а он просто отправил e-mail — создатель Black Kingdom в тисках правосудия

Министерство юстиции США предъявило обвинения 36-летнему гражданину Йемена в проведении масштабной серии кибератак на серверы Microsoft Exchange. По данным следствия, подозреваемый является создателем и главным оператором программы-вымогателя Black Kingdom.

Рами Халед Ахмед обвиняется в заражении около 1500 компьютеров как на территории США, так и за рубежом. За восстановление доступа к данным злоумышленник требовал выкуп в размере 10 тысяч долларов в биткоинах.

Согласно материалам дела, с марта 2021 по июнь 2023 года Ахмед и его сообщники проникли в системы нескольких американских организаций. Среди пострадавших оказались компания медицинского биллинга в Энсино, горнолыжный курорт в Орегоне, школьный округ в Пенсильвании и медицинская клиника в Висконсине.

После успешного внедрения вредоносная программа создавала на зараженном устройстве записку с требованием перевести криптовалюту на подконтрольный сообщникам адрес. Жертвам предписывалось отправить подтверждение платежа на электронную почту, связанную с Black Kingdom.

Специалисты Минюста установили, что для проникновения в системы Ахмед разработал особый механизм, эксплуатирующий брешь в Exchange. Первым на эту схему обратил внимание исследователь Маркус Хатчинс, обнаруживший в марте 2021 года веб-оболочки, которые операторы Black Kingdom размещали на серверах, уязвимых к атакам типа ProxyLogon.

ProxyLogon представляет собой набор критических багов в системе безопасности Microsoft Exchange Server. В их числе CVE-2021-26855 — подделка серверных запросов для первичного доступа, CVE-2021-26857 — небезопасная десериализация для повышения привилегий до уровня SYSTEM, а также CVE-2021-26858 и CVE-2021-27065, позволяющие произвольную запись веб-оболочек.

Ранее, в июне 2020 года, стало известно об использовании группировкой Black Kingdom другой критической бреши — CVE-2019-11510 в системе Pulse Secure VPN, что позволяло получать доступ к корпоративным сетям для последующего развертывания программ-блокировщиков.

Сейчас Ахмеду инкриминируют сговор, умышленное повреждение защищенного компьютера и угрозу нанесения ущерба защищенному компьютеру. В случае признания вины по всем пунктам йеменцу грозит до пяти лет тюремного заключения за каждое преступление — в общей сложности до 15 лет в федеральной тюрьме.

По данным американского Минюста, в настоящее время подозреваемый предположительно находится на территории своей родной страны. Как долго ему удастся скрываться от правоохранителей - время покажет.