El Departamento de Justicia de los Estados Unidos (DOJ) anunció el jueves cargos contra un ciudadano yemení de 36 años por supuestamente desplegar el ransomware del Reino Negro contra objetivos globales, incluidas empresas, escuelas y hospitales en los Estados Unidos.
Rami Khaled Ahmed de Sana’a, Yemen, ha sido acusado de un cargo de conspiración, un cargo de daño intencional a una computadora protegida y un cargo de daño amenazador a una computadora protegida. Se evalúa que Ahmed vive actualmente en Yemen.
“Desde marzo de 2021 hasta junio de 2023, Ahmed y otros infectaron redes informáticas de varias víctimas con sede en los Estados Unidos, incluida una compañía de servicios de facturación médica en Encino, una estación de esquí en Oregon, un distrito escolar en Pensilvania y una clínica de salud en Wisconsin”, el DOJ “. dicho en una declaración.
Ahmed está acusado de desarrollar e implementar el ransomware explotando una vulnerabilidad en Microsoft Exchange Server conocido como Proxylogon.
El ransomware trabajó en cifrado de datos de las redes informáticas de las víctimas o afirmando robar esa información de las redes. Después del cifrado, el ransomware eliminó una nota de rescate en el sistema y le ordenó a la víctima que enviara $ 10,000 en bitcoin a una dirección de criptomoneda controlada por un co-conspirador.
Supuestamente, también se les pidió a las víctimas que enviaran prueba del pago a una dirección de correo electrónico de Black Kingdom. Se estima que el ransomware se entregó en unos 1,500 sistemas informáticos en los EE. UU. Y en otros lugares.
También rastreado bajo el nombre de Pydomer, la familia de ransomware se ha vinculado previamente a ataques que aprovechan las vulnerabilidades VPN seguras de pulso (CVE-2019-11510), Microsoft reveló A fines de marzo de 2021, señalando que fue la primera familia de ransomware existente en capitalizar las fallas de Proxylogon.
El proveedor de ciberseguridad Sophos describió el Reino Negro como “algo rudimentario y amateurish en su composición”, con los atacantes aprovechando la vulnerabilidad de Proxylogon para implementar proyectiles web, que luego se usaron para emitir comandos de PowerShell para descargar el ransomware.
También dijo que la actividad lleva todas las características de un “kiddie de guión motivado”. Luego, más tarde, en agosto, se observó un actor de amenaza nigeriano que intentaba reclutar empleados ofreciéndoles que pagaran $ 1 millón en Bitcoin para implementar el ransomware de Black Kingdom en las redes de las empresas como parte de un esquema de amenaza interna.
Si es declarado culpable, Ahmed enfrenta una sentencia máxima de cinco años en una prisión federal por cada cargo. El caso está siendo investigado por la Oficina Federal de Investigación de los Estados Unidos (FBI) con la asistencia de la policía de Nueva Zelanda.
Los cargos llegan en medio de una serie de anuncios de las autoridades gubernamentales de los Estados Unidos contra varias actividades criminales –
- El DOJ sin sello Una acusación que acusa al ciudadano ucraniano Artem Stryzhak de compañías atacantes que usan ransomware nefilim desde que se convirtió en un afiliado en junio de 2021. Fue arrestado en España en junio de 2024 y extraditado a los Estados Unidos el 30 de abril de 2025. Si el cargo, Stryzhak se enfrenta a cinco años.
- Tyler Robert Buchanan, un ciudadano británico sospechoso de ser miembro del notorioso grupo de delitos cibernéticos esparcidos, era extraditado Desde España hasta los Estados Unidos para enfrentar cargos relacionados con el fraude al cable y el robo de identidad agravado. Buchanan fue arrestado en España en junio de 2024. Los Estados Unidos anunciaron los cargos contra él y otros miembros de la araña dispersos en noviembre de 2024.
- Leonidas Varagiannis (también conocido como guerra), 21, y Prasan Nepal (también conocido como Trippy), 20, los dos presuntos líderes de un grupo de extorsión infantil 764 han sido arrestado y cargado con dirigir y distribuir material de abuso sexual infantil (CSAM). Los dos hombres están acusados de explotar al menos ocho víctimas menores.
- Richard Anthony Reyna Densmore, otro miembro de 764, era sentenciado a 30 años en los Estados Unidos en noviembre de 2024 para explotar sexualmente a un niño. Los miembros de 764 están afiliados a la COM, una colección dispar de grupos poco asociados que cometen crímenes financieros, sexuales y violentos. También incluye una araña dispersa.
- La Red de Control de Delitos Financieros del Departamento del Tesoro de los Estados Unidos (FINCEN) designado Conglomerado con sede en Camboya Huione Group como “institución de primaria lavado de dinero preocupación “por las pandillas de cibercrimen transnacionales del sudeste asiático al facilitar las estafas de cebo romántico y por servir como un nodo crítico para el lavado de los ingresos de los ciberdictos cibernéticos llevados a cabo por la República Popular Democrática de Corea (DPRK). revocado en marzo de 2025 por el Banco Nacional de Camboya.
El ransomware ataca a la sobretensión a medida que disminuye los pagos
Los desarrollos vienen como ransomware continúa ser un amenaza duraderaaunque cada vez más fragmentado y volátil, ya que las acciones de aplicación de la ley sostenidas causan cambios importantes en las tácticas observadas. Esto incluye la creciente frecuencia de los ataques sin cifrado y la tendencia de los cibercriminales que se alejan de los grupos jerárquicos tradicionales a favor de un enfoque de lobo solitario.
“Las operaciones de ransomware están cada vez más descentralizadas, con un número creciente de ex afiliados que eligen operar de forma independiente en lugar de permanecer vinculada a los grupos establecidos”, Halcyon dicho.
“Este cambio está siendo impulsado por varios factores, incluida la mayor coordinación de la aplicación de la ley, los derribos exitosos de la infraestructura de ransomware mayor y un impulso más amplio de los actores para evitar la atribución a través de la rotación de la marca o las campañas sin marca”.
Los datos compilados por Verizon muestran que el 44% de todas las infracciones analizadas en 2024 implicaron el uso de una cepa de ransomware, en comparación con el 32% en 2023. Pero hay buenas noticias: más víctimas que nunca se niegan a pagar los rescates y menos organizaciones están dispuestas a pagar el rescate exigido.
“Para el año calendario 2024, la mediana de rescate pagada se convierte en $ 115,000, lo que es una disminución de $ 150,000 en el año anterior”, Verizon dicho En su Informe de Investigaciones de Investigación de Datos de 2025 (DBIR). “El 64% de las organizaciones víctimas no pagaron los rescates, que era más del 50% hace dos años”.
Según Coveware, el pago promedio de rescate para el primer trimestre de 2025 fue de $ 552,777, una disminución del 0.2% del trimestre anterior. El pago del rescate de los medios, en contraste, subió un 80% en $ 200,000.
“La tasa de empresas que optaron por pagar un rescate, ya sea para adquirir claves de descifrado o suprimir a un actor de amenaza de publicar los datos incumplidos en su sitio de fuga, aumentó ligeramente en el primer trimestre de 2025”, la compañía dicho.
La tasa de resolución de pago de ransomware para el período se ha fijado en un 27%, por debajo del 85% en el primer trimestre de 2019, 73% en el primer trimestre de 2020, 56% en el primer trimestre de 2021, 46% en el primer trimestre de 2022, 45% en el Q1 2023 y 28% en el Q1 2024.
“Si bien los ataques seguen ocurriendo y los nuevos grupos continúan girando cada mes, la máquina de ransomware bien engrasada que los primeros grupos de RAAS construyeron está plagado de complicaciones que parecen poco probables que se resuelvan”, agregó.
A pesar de estos contratiempos, el ransomware no muestra signos de detenerse en el corto plazo, con el primer trimestre de 2025 presenciando 2,289 incidentes reportados, un aumento del 126% en comparación con el Q1 2024, por Punto de control. Los ataques de ransomware, sin embargo, tienen presenciado Una caída del 32% mes a mes en marzo de 2025, con un total de 600 incidentes reclamados.
América del Norte y Europa representaron más del 80% de los casos. Los bienes y servicios de consumo, los servicios comerciales, la fabricación industrial, la atención médica e construcción e ingeniería fueron los sectores los más dirigidos por el ransomware.
“Los volúmenes de incidentes de ransomware están alcanzando niveles sin precedentes”, el Dr. Darren Williams, fundador y CEO de Blackfog, dicho. “Esto presenta desafíos continuos para las organizaciones que tratan con los atacantes centrados en la interrupción, el robo de datos y la extorsión. Los diferentes grupos surgirán y se disolverán, pero todos se centran en el mismo objetivo final, la exfiltración de datos”.
About the Author
