O Departamento de Justiça dos Estados Unidos indiciou Rami Khaled Ahmed, cidadão iemenita de 36 anos, por liderar a operação do ransomware Black Kingdom, responsável por mais de 1.500 ataques a sistemas vulneráveis do Microsoft Exchange entre março de 2021 e junho de 2023. Segundo a acusação, Ahmed exigia resgates de US$ 10.000 em Bitcoin das vítimas, que incluíam empresas médicas, instituições de ensino e até uma estação de esqui nos EUA.
Leia também
Chrome e Firefox corrigem falhas críticas
Plataforma de phishing usava 42 mil domínios
O ransomware explorava vulnerabilidades conhecidas como ProxyLogon, especificamente as falhas CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065, que permitiam acesso inicial e execução de código remoto em servidores Microsoft Exchange desatualizados. A prática foi identificada inicialmente pelo pesquisador Marcus Hutchins, que detectou o uso de shells da web para manter acesso persistente nos sistemas comprometidos.
Além disso, registros mostram que Ahmed também explorou a vulnerabilidade CVE-2019-11510 em redes com Pulse Secure VPN, intensificando os ataques contra alvos corporativos. O Black Kingdom, apesar de tecnicamente simples, foi considerado eficaz por explorar brechas amplamente disseminadas e de alto impacto.
Rami Khaled Ahmed foi acusado de conspiração, dano intencional e ameaça de dano a sistemas protegidos. Caso seja condenado, poderá cumprir até 15 anos de prisão federal. As autoridades acreditam que ele esteja atualmente residindo no Iêmen.
