Un ressortissant yéménite de 36 ans, qui serait le développeur et le principal opérateur du ransomware « Black Kingdom », a été inculpé par les États-Unis pour avoir mené 1 500 attaques contre des serveurs Microsoft Exchange.
Le suspect, Rami Khaled Ahmed, est accusé d’avoir déployé le logiciel malveillant Black Kingdom sur environ 1 500 ordinateurs aux États-Unis et à l’étranger, exigeant le paiement d’une rançon de 10 000 dollars en Bitcoin.
« Selon l’acte d’accusation, de mars 2021 à juin 2023, Ahmed et d’autres ont infecté les réseaux informatiques de plusieurs victimes basées aux États-Unis, y compris une société de services de facturation médicale à Encino, une station de ski en Oregon, un district scolaire en Pennsylvanie et une clinique de santé dans le Wisconsin », explique une annonce du département américain de la Justice.
« Lorsque le logiciel malveillant a réussi, le ransomware a ensuite créé une note de rançon sur le système de la victime qui lui demandait d’envoyer 10 000 Bitcoin de Bitcoin à une adresse de crypto-monnaie contrôlée par un co-conspirateur et d’envoyer une preuve de ce paiement à un Royaume noir adresse e-mail », lit-on dans une autre partie de l’annonce.
Le DoJ américain souligne qu’Ahmed a conçu le ransomware Black Kingdom pour exploiter une vulnérabilité dans Microsoft Exchange pour un accès initial aux ordinateurs ciblés.
Cela a été signalé pour la première fois en mars 2021 par le chercheur Marcus Hutchins, qui a découvert des shells Web déployés par des opérateurs de ransomwares Black Kingdom sur des serveurs Exchange vulnérables aux attaques par proxy.
La faille ProxyLogon fait référence à un ensemble de vulnérabilités critiques dans Microsoft Exchange Server qui ont été divulguées et exploitées pour la première fois début 2021.
Les failles sont CVE-2021-26855 (Falsification de requête côté serveur utilisée pour l’accès initial), CVE-2021-26857 (désérialisation non sécurisée utilisée pour l’élévation de privilèges vers le SYSTÈME) et CVE-2021-26858 et CVE-2021-27065 (écriture de fichiers arbitraire utilisée pour écrire des shells Web sur des serveurs).
Bientôt, Microsoft a confirmé que Black Kingdom avait compromis 1 500 serveurs Exchange en exploitant les failles de ProxyLogon.
En juin 2020, il a été révélé que Black Kingdom avait ciblé CVE-2019-11510, une vulnérabilité critique affectant Pulse Secure VPN, pour violer les réseaux d’entreprise et déployer leurs casiers de fichiers.
Pour ses attaques contre le Royaume noir, Ahmed fait maintenant face à des accusations de complot, de dommages intentionnels à un ordinateur protégé et de menaces de dommages à un ordinateur protégé.
S’il est reconnu coupable, Ahmed encourt une peine maximale légale de cinq ans de prison fédérale pour chaque chef d’accusation, totalisant jusqu’à 15 ans.
Le département de la justice des États-Unis déclare qu’Ahmed résiderait au Yémen.