El Departamento de Justicia de Estados Unidos ha acusado formalmente a Rami Khaled Ahmed, un ciudadano yemení de 36 años, por su presunta implicación como desarrollador y operador principal del ransomware conocido como Black Kingdom, responsable de comprometer aproximadamente 1.500 servidores Microsoft Exchange en EE. UU. y otros países. Esta acusación forma parte de una creciente respuesta internacional frente a las ciberamenazas avanzadas que explotan vulnerabilidades críticas en infraestructuras tecnológicas ampliamente utilizadas.
¿Qué es Black Kingdom y cómo funcionaba?
Black Kingdom es un tipo de ransomware que apareció en el radar de las autoridades en marzo de 2021, cuando múltiples organizaciones comenzaron a reportar infecciones en sus sistemas Microsoft Exchange. El ransomware fue diseñado para explotar vulnerabilidades críticas de Exchange conocidas como ProxyLogon, las cuales permiten a los atacantes ejecutar código arbitrario, acceder a correos electrónicos y, eventualmente, desplegar malware como parte de su campaña de extorsión.
Una vez que los sistemas eran comprometidos, Black Kingdom cifraba archivos esenciales y dejaba una nota de rescate exigiendo 10.000 dólares en Bitcoin, con instrucciones para enviar el comprobante de pago a una dirección de correo electrónico controlada por los atacantes. Esta técnica de extorsión es común en los ataques de ransomware y suele implicar la amenaza de publicar datos sensibles si no se realiza el pago.
Víctimas confirmadas del ataque
De acuerdo con la acusación oficial, Ahmed y sus cómplices infectaron redes de múltiples organizaciones estadounidenses entre marzo de 2021 y junio de 2023. Entre las víctimas se encuentran:
-
Una empresa de servicios de facturación médica en Encino, California.
-
Una estación de esquí en Oregón.
-
Un distrito escolar en el estado de Pensilvania.
-
Una clínica de salud ubicada en Wisconsin.
Estos ataques no solo causaron daños financieros y operacionales, sino que también pusieron en riesgo la privacidad de datos confidenciales de pacientes, estudiantes y clientes, elevando la gravedad del incidente.
Cómo explotaron la vulnerabilidad ProxyLogon
El ransomware Black Kingdom se aprovechó de una cadena de vulnerabilidades en Microsoft Exchange Server identificadas colectivamente como ProxyLogon. Las fallas críticas explotadas incluyen:
-
CVE-2021-26855: falsificación de solicitudes del lado del servidor (SSRF) para el acceso inicial.
-
CVE-2021-26857: deserialización insegura para elevar privilegios.
-
CVE-2021-26858 y CVE-2021-27065: escritura arbitraria de archivos para insertar web shells y lograr control remoto del servidor.
Estos exploits permitieron a los atacantes controlar remotamente los servidores vulnerables y, en última instancia, desplegar el ransomware. El investigador de ciberseguridad Marcus Hutchins fue uno de los primeros en descubrir y documentar el uso de estos métodos por parte de Black Kingdom.
Otros ataques del ransomware Black Kingdom
Antes de la campaña contra Microsoft Exchange, en junio de 2020, Black Kingdom también fue vinculado a ataques que aprovecharon otra falla crítica, CVE-2019-11510, una vulnerabilidad en Pulse Secure VPN. Esta vulnerabilidad les permitió infiltrarse en redes corporativas y ejecutar ransomware en equipos comprometidos.
Black Kingdom no es solo otro ransomware entre muchos. Ha demostrado adaptabilidad y un enfoque agresivo para comprometer redes críticas, especialmente en sectores sensibles como salud, educación y servicios esenciales.
Cargos presentados contra Rami Khaled Ahmed
El Departamento de Justicia de EE. UU. ha imputado a Ahmed con los siguientes cargos:
-
Conspiración para cometer intrusión informática.
-
Daño intencional a una computadora protegida.
-
Amenaza de daño a una computadora protegida.
Cada uno de estos cargos conlleva una pena máxima de cinco años en prisión federal. Si es declarado culpable de todos, Ahmed podría enfrentar hasta 15 años de reclusión. Aunque actualmente se cree que reside en Yemen, las autoridades estadounidenses están trabajando con socios internacionales para su localización y posible extradición.
Implicaciones para la ciberseguridad global
Este caso subraya los peligros persistentes del ransomware y cómo actores maliciosos continúan explotando vulnerabilidades conocidas, a pesar de la disponibilidad de parches y actualizaciones de seguridad. También resalta la necesidad urgente de que las organizaciones, tanto públicas como privadas, implementen protocolos de gestión de vulnerabilidades, auditorías de seguridad y planes de respuesta ante incidentes.
Microsoft y otras compañías tecnológicas han reiterado la importancia de aplicar actualizaciones de seguridad tan pronto como estén disponibles. La explotación de fallos como ProxyLogon, incluso meses después de ser divulgados, demuestra que muchas organizaciones siguen siendo vulnerables por no actuar con suficiente rapidez.
En fin, la acusación contra Rami Khaled Ahmed y su implicación en el despliegue del ransomware Black Kingdom representa un avance importante en la lucha contra el cibercrimen global. Sin embargo, también sirve como recordatorio de que la protección contra amenazas como el ransomware depende no solo de la acción judicial, sino también de una vigilancia proactiva por parte de las organizaciones afectadas.
Invertir en medidas de ciberseguridad, educación continua y actualizaciones regulares es crucial para mitigar riesgos, reducir superficies de ataque y evitar ser víctimas del próximo Black Kingdom.
Fuente: Bleeping Computer
