Ahmed, Black Kingdom y 1500 servidores caídos: el Departamento de Justicia persigue a un programador yemení

El Departamento de Justicia de los Estados Unidos ha presentado cargos contra un ciudadano yemení de 36 años por una serie masiva de ciberataques contra servidores de Microsoft Exchange. Según la investigación, el sospechoso sería el creador y principal operador del ransomware Black Kingdom.

Rami Khaled Ahmed está acusado de haber infectado aproximadamente 1500 computadoras tanto en EE. UU. como en el extranjero. Para restablecer el acceso a los datos, el atacante exigía un rescate de 10 mil dólares en bitcoins.

De acuerdo con los documentos judiciales, entre marzo de 2021 y junio de 2023, Ahmed y sus cómplices lograron infiltrarse en los sistemas de varias organizaciones estadounidenses. Entre las víctimas se encuentran una empresa de facturación médica en Encino, una estación de esquí en Oregón, un distrito escolar en Pensilvania y una clínica médica en Wisconsin.

Tras la infiltración exitosa, el programa malicioso generaba en los dispositivos infectados una nota exigiendo la transferencia de criptomonedas a una dirección controlada por los atacantes. A las víctimas se les pedía enviar la confirmación del pago por correo electrónico a una cuenta vinculada con Black Kingdom.

Los especialistas del Departamento de Justicia establecieron que Ahmed había desarrollado un mecanismo especial para explotar una vulnerabilidad en Exchange. El primero en detectar este esquema fue el investigador Marcus Hutchins, quien en marzo de 2021 descubrió web shells instaladas por los operadores de Black Kingdom en servidores vulnerables a ataques del tipo ProxyLogon.

ProxyLogon es un conjunto de vulnerabilidades críticas en la seguridad de Microsoft Exchange Server. Entre ellas se encuentra CVE-2021-26855 —suplantación de solicitudes del servidor para obtener acceso inicial—, CVE-2021-26857 —deserialización insegura para elevar privilegios al nivel SYSTEM—, así como CVE-2021-26858 y CVE-2021-27065, que permiten la escritura arbitraria de web shells.

Anteriormente, en junio de 2020, se había informado que el grupo Black Kingdom utilizó otra vulnerabilidad crítica —CVE-2019-11510 en Pulse Secure VPN—, lo que les permitía acceder a redes corporativas para luego desplegar programas de bloqueo.

Actualmente, Ahmed enfrenta cargos por conspiración, daño intencional a computadoras protegidas y amenaza de daño a sistemas protegidos. Si se le declara culpable de todos los cargos, el yemení podría enfrentar hasta cinco años de prisión por cada delito, con una pena total de hasta 15 años en una prisión federal.

Según el Departamento de Justicia de los Estados Unidos, el sospechoso se encuentra presuntamente en su país de origen. Cuánto tiempo logrará evadir a las autoridades, solo el tiempo lo dirá.