In de Verenigde Staten is een 36-jarige Jemenitische man aangeklaagd, die wordt gezien als de brein achter de ‘Black Kingdom’ ransomware. Hij zou verantwoordelijk zijn voor 1.500 aanvallen op Microsoft Exchange-servers.

De verdachte, Rami Khaled Ahmed, wordt ervan beschuldigd de schadelijke Black Kingdom-software te hebben verspreid op zo’n 1.500 computers in de VS en daarbuiten. Hij eiste een losgeld van $10.000 in Bitcoin.

Tussen maart 2021 en juni 2023 infecteerden Ahmed en zijn handlangers netwerken van verschillende Amerikaanse slachtoffers, waaronder een medisch factureringsbedrijf in Encino, een skiresort in Oregon, een schooldistrict in Pennsylvania en een gezondheidskliniek in Wisconsin, aldus het Amerikaanse Ministerie van Justitie.

Bij succesvolle aanvallen verscheen er een losgeldbericht op de computers van de slachtoffers. Hierin stond dat ze $10.000 in Bitcoin moesten overmaken naar een cryptoadres, beheerd door een medeplichtige, en dat ze hiervan bewijs moesten sturen naar een Black Kingdom e-mailadres.

Het ministerie legt uit dat Ahmed de ransomware zo had ontworpen dat het een kwetsbaarheid in Microsoft Exchange uitbuitte, om zo toegang te krijgen tot de doelcomputers.

Onderzoeker Marcus Hutchins meldde in maart 2021 als eerste dat de operators van Black Kingdom webshells hadden geïnstalleerd op Exchange-servers die kwetsbaar waren voor ProxyLogon-aanvallen.

De ProxyLogon-fout betreft kritieke kwetsbaarheden in Microsoft Exchange Server, die begin 2021 werden ontdekt en uitgebuit. Deze omvatten o.a. CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 en CVE-2021-27065.

Kort daarna bevestigde Microsoft dat Black Kingdom 1.500 Exchange-servers had gecompromitteerd via deze ProxyLogon-fouten.

In juni 2020 bleek dat Black Kingdom zich ook richtte op CVE-2019-11510, een kritieke kwetsbaarheid in Pulse Secure VPN, om bedrijfsnetwerken binnen te dringen en hun bestanden te versleutelen.

Ahmed wordt nu beschuldigd van samenzwering, opzettelijke schade aan een beveiligde computer en dreiging tot schade.

Als hij schuldig wordt bevonden, kan Ahmed voor elke aanklacht tot vijf jaar gevangenis krijgen, wat kan oplopen tot 15 jaar. Het vermoeden is dat hij momenteel in Jemen verblijft.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.