Американские следователи установили личность хакера из Йемена, атаковавшего 1500 систем с помощью вируса-вымогателя

Министерство юстиции Соединённых Штатов сообщило о возбуждении уголовного дела против жителя Йемена, которого считают автором вируса-вымогателя Black Kingdom. Хакерская кампания, предположительно организованная 36-летним Рами Халедом Ахмедом, нанесла серьёзный урон организациям в США и за их пределами — среди пострадавших оказались образовательные учреждения, медицинские компании и бизнес-структуры.

По данным ведомства, Рами Халед Ахмед, проживающий в столице Йемена — Сане, привлёк внимание американских правоохранителей после серии атак, продолжавшихся с весны 2021 года до середины 2023 года. Обвинения включают три пункта: участие в преступном сговоре, преднамеренное нанесение вреда компьютерным системам и угроза подобного вреда. Следователи уверены, что действия Ахмеда были направлены на широкую аудиторию целей, а использованные им инструменты отличались технической изощрённостью.

Как пояснили в Министерстве юстиции США, злоумышленник применил эксплойт уязвимости ProxyLogon в Microsoft Exchange Server, чтобы внедрить вредоносный код в корпоративные сети. После проникновения в систему вирус либо шифровал хранящиеся в ней данные, либо имитировал их кражу, оставляя сообщение с инструкцией о выкупе. По информации ведомства, хакер требовал перевести 10 тыс. долларов в биткоинах на криптокошелёк, контролируемый одним из сообщников. Также пострадавшие должны были отправить подтверждение перевода на указанный адрес электронной почты, связанный с Black Kingdom.

Масштабы атаки оценили в 1500 заражённых систем, охвативших не только территорию Соединённых Штатов, но и другие регионы. Среди известных жертв — медицинская организация в Висконсине, школа в Пенсильвании, компания по обработке счетов в Калифорнии и курортный комплекс в Орегоне.

По данным Microsoft, группа, стоящая за Black Kingdom (она же известна под названием Pydomer), уже ранее использовала аналогичные методы. В частности, в марте 2021 года специалисты компании зафиксировали атаки, в которых применялись уязвимости в системе VPN от Pulse Secure (CVE-2019-11510). Тогда специалисты компании подчеркнули, что Black Kingdom стал первым известным вирусом-вымогателем, использовавшим уязвимости ProxyLogon для инфицирования серверов.