Ataques comprometem milhares de servidores
5 de Maio de 2025

Um cidadão iemenita de 36 anos, acredita-se ser o desenvolvedor e principal operador do ransomware 'Black Kingdom', foi indiciado pelos Estados Unidos após realizar 1.500 ataques em servidores Microsoft Exchange.

O suspeito, Rami Khaled Ahmed, é acusado de instalar o malware Black Kingdom em aproximadamente 1.500 computadores nos Estados Unidos e no exterior, exigindo pagamentos de resgate de $10.000 em Bitcoin.

"De acordo com a acusação, de março de 2021 a junho de 2023, Ahmed e outros infectaram redes de computadores de várias vítimas nos EUA, incluindo uma empresa de cobrança de serviços médicos em Encino, um resort de esqui em Oregon, um distrito escolar na Pensilvânia e uma clínica de saúde em Wisconsin," explica um anúncio do Departamento de Justiça dos EUA.

"Quando o malware era bem-sucedido, o ransomware então criava uma nota de resgate no sistema da vítima, instruindo a vítima a enviar $10.000 em Bitcoin para um endereço de criptomoeda controlado por um cúmplice e enviar prova deste pagamento para um endereço de e-mail do Black Kingdom," lê-se em outra parte do anúncio.

O Departamento de Justiça dos EUA destaca que Ahmed projetou o ransomware Black Kingdom para explorar uma vulnerabilidade no Microsoft Exchange para obter acesso inicial aos computadores visados.

Isso foi relatado pela primeira vez em março de 2021 pelo pesquisador Marcus Hutchins, que descobriu web shells implantados por operadores do ransomware Black Kingdom em servidores Exchange vulneráveis a ataques ProxyLogon.

A falha ProxyLogon refere-se a um conjunto de vulnerabilidades críticas no Microsoft Exchange Server que foram divulgadas e exploradas no início de 2021.

As falhas são CVE-2021-26857 , CVE-2021-26858 , CVE-2021-27065 , CVE-2021-27078. Essa descrição em Português do Brasil ficaria assim: Vulnerabilidade de Execução Remota de Código no Microsoft Exchange Server. Este ID de CVE é único em relação às outras vulnerabilidades conhecidas como CVE-2021-26412, CVE-2021-26854, CVE-2021-26857 , CVE-2021-26858 , CVE-2021-27065 , CVE-2021-27078.

"> CVE-2021-26855 (Server-Side Request Forgery usado para acesso inicial), CVE-2021-26857 (deserialização insegura usada para escalonamento de privilégios para SYSTEM), e CVE-2021-26858 e CVE-2021-27065 (escrita arbitrária de arquivos usada para escrever web shells nos servidores).

Logo, a Microsoft confirmou que o Black Kingdom havia comprometido 1.500 servidores Exchange explorando falhas ProxyLogon.

Em junho de 2020, foi revelado que o Black Kingdom mirou no CVE-2019-11510 , uma vulnerabilidade crítica que afeta o Pulse Secure VPN, para invadir redes corporativas e implantar seus bloqueadores de arquivos.

Por seus ataques com o Black Kingdom, Ahmed agora enfrenta acusações de conspiração, dano intencional a um computador protegido e ameaça de dano a um computador protegido.

Se condenado, Ahmed enfrenta uma pena máxima estatutária de cinco anos em prisão federal por cada acusação, totalizando até 15 anos.

O Departamento de Justiça dos EUA afirma que Ahmed acredita-se estar residindo no Iêmen.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...