Departament Sprawiedliwości Stanów Zjednoczonych postawił zarzuty 36-letniemu obywatelowi Jemenu, podejrzanemu o wykorzystywanie ransomware Black Kingdom do ataków na organizacje na całym świecie, w tym podmioty działające w USA. Oskarżony, Rami Khaled Ahmed z Sany, miał od marca 2021 do czerwca 2023 r. infekować sieci komputerowe instytucji takich jak firmy usług medycznych, ośrodki edukacyjne oraz placówki służby zdrowia.
Według śledczych Ahmed wykorzystywał podatność ProxyLogon w serwerach Microsoft Exchange do rozprzestrzeniania oprogramowania szyfrującego dane lub kradnącego informacje. Po zainfekowaniu systemów ransomware pozostawiało notatkę z żądaniem okupu w wysokości 10 000 dolarów w bitcoinach. Ofiary miały potwierdzać płatność przez wskazany adres e-mail powiązany z grupą Black Kingdom. Szacuje się, iż atak ten dotknął około 1500 systemów komputerowych.
USA stawia zarzuty twórcy ransomware Black Kingdom. Rośnie presja na cyberprzestępców
Choć technicznie uznawany za prymitywny, Black Kingdom był jednym z pierwszych znanych przykładów ransomware wykorzystujących lukę ProxyLogon. Wcześniejsze analizy wskazywały, że atakujący korzystali również z podatności w Pulse Secure VPN. W sierpniu 2021 r. zaobserwowano próby rekrutacji pracowników firm, którzy w zamian za milion dolarów w bitcoinach mieli zainstalować to ransomware w ramach tzw. insider threat.
Ahmed, który według władz amerykańskich wciąż przebywa w Jemenie, został formalnie oskarżony o spisek, umyślne uszkodzenie chronionego systemu komputerowego oraz groźby jego uszkodzenia. Każdy z zarzutów może skutkować karą do pięciu lat pozbawienia wolności. Sprawę prowadzi FBI, przy współpracy z policją w Nowej Zelandii.
Departament Sprawiedliwości Stanów Zjednoczonych postawił zarzuty 36-letniemu obywatelowi Jemenu, podejrzanemu o wykorzystywanie ransomware Black Kingdom do ataków na organizacje na całym świecie.
Zarzuty wobec Ahmeda wpisują się w większe działania organów ścigania przeciwko cyberprzestępczości. W ostatnich miesiącach USA ogłosiły szereg innych postępowań, w tym wobec ukraińskiego obywatela Artema Stryzhaka (ransomware Nefilim), Brytyjczyka Tylera Buchanana (grupa Scattered Spider) czy liderów grupy 764, oskarżonych o wykorzystywanie seksualne dzieci. W tym samym czasie Departament Skarbu USA nałożył sankcje na HuiOne Group, uznając tę firmę z siedzibą w Kambodży za podmiot wspierający przestępczość cybernetyczną w Azji Południowo-Wschodniej i związany z procederem prania pieniędzy na rzecz grup powiązanych z Koreą Północną.
Wszystkie działania podejmowane w ostatnim czasie mają miejsce w czasie, gdy krajobraz zagrożeń związanych z ransomware staje się coraz bardziej złożony. Dane pokazują, iż choć liczba ataków rośnie, to coraz więcej ofiar odmawia płacenia okupu. W 2024 roku 64% organizacji dotkniętych ransomware nie ugięło się pod żądaniami, co oznacza wzrost w porównaniu do 50% dwa lata wcześniej.
Zgodnie z raportem Verizon, aż 44% wszystkich naruszeń danych w 2024 roku wiązało się z wykorzystaniem ransomware, co oznacza wzrost względem 32% w roku poprzednim. Pomimo tego, mediana wypłacanych okupów spadła do 115 000 dolarów, w porównaniu do 150 000 w roku wcześniejszym. Coveware szacuje średnią kwotę okupu w pierwszym kwartale 2025 roku na ponad 552 000 dolarów, a samą skuteczność negocjacji dotyczących płatności określa na poziomie zaledwie 27% — znaczący spadek w porównaniu do lat wcześniejszych.
Eksperci zauważają, że działalność grup ransomware staje się coraz bardziej zdecentralizowana. W obliczu nasilonych działań organów ścigania, wielu byłych członków zorganizowanych grup przechodzi do działalności indywidualnej lub pod zmienionymi szyldami, co utrudnia przypisywanie odpowiedzialności.
Ransomware jednym z największych zagrożeń dla instytucji i firm
Mimo tych zmian i coraz większej presji, ransomware pozostaje jednym z najpoważniejszych zagrożeń dla instytucji i firm. W pierwszym kwartale 2025 roku odnotowano ponad 2200 incydentów, co oznacza wzrost o 126% względem analogicznego okresu rok wcześniej.
Najczęściej celem ataków były podmioty z Ameryki Północnej i Europy, w tym sektor usług, produkcji, ochrony zdrowia i budownictwa.
Pokaż / Dodaj komentarze do: USA ma dość tego kraju. Tym razem chodzi o cyberbezpieczeństwo i ogromne straty