Het Amerikaanse ministerie van Justitie (DOJ) heeft donderdag aanklachten aangekondigd tegen een 36-jarige Jemeni-onderdaan voor het vermoeden van de Black Kingdom-ransomware tegen wereldwijde doelen, waaronder bedrijven, scholen en ziekenhuizen in de Verenigde Staten.
Rami Khaled Ahmed van Sana’a, Jemen, is beschuldigd van één telling van samenzwering, één telling van opzettelijke schade aan een beschermde computer en één telling van dreigende schade aan een beschermde computer. Ahmed wordt beoordeeld als momenteel in Jemen woont.
“Van maart 2021 tot juni 2023 hebben Ahmed en anderen geïnfecteerde computernetwerken van verschillende in de VS gevestigde slachtoffers geïnfecteerd, waaronder een medisch factureringsbedrijf in Encino, een skigebied in Oregon, een schooldistrict in Pennsylvania en een gezondheidskliniek in Wisconsin,” zei de DOJ in een verklaring.
Ahmed wordt beschuldigd van het ontwikkelen en implementeren van de ransomware door een kwetsbaarheid in Microsoft Exchange Server te benutten, bekend als Proxylogon.
De ransomware werkte door gegevens van de computernetwerken van slachtoffers te coderen of die informatie van de netwerken te stelen. Na versleuteling liet de ransomware een losgeldbriefje op het systeem vallen en stuurde het slachtoffer om $ 10.000 aan Bitcoin te sturen naar een cryptocurrency-adres dat wordt bestuurd door een mede-samenzweerder.
Slachtoffers zouden ook worden gevraagd om een bewijs van de betaling te sturen naar een e -mailadres van Black Kingdom. De ransomware wordt naar schatting op ongeveer 1500 computersystemen in de VS en elders geleverd.
Ook gevolgd onder de naam Pydomer, is de Ransomware-familie eerder gekoppeld aan aanvallen die profiteren van pulsveilige VPN-kwetsbaarheden (CVE-2019-11510), onthulde Microsoft eind maart 2021 en merkte op dat het de eerste bestaande RANSOMWARE-familie was die kapitaliseerde op de proxylologonfout.
Cybersecurity -verkoper Sophos beschreef het zwarte koninkrijk als “enigszins rudimentair en amateurish in zijn compositie”, waarbij de aanvallers gebruikmaken van de proxylogon -kwetsbaarheid om webschalen te implementeren, die vervolgens werden gebruikt om PowerShell -opdrachten uit te geven om de losgeld te downloaden.
Het zei ook dat de activiteit alle kenmerken draagt van een ‘gemotiveerde script-kiddie’. Later in augustus werd een Nigeriaanse dreigingsacteur geobserveerd om werknemers te werven door hen aan te bieden om $ 1 miljoen aan Bitcoin te betalen om Black Kingdom -ransomware op de netwerken van bedrijven in te zetten als onderdeel van een insider -dreigingsschema.
Indien veroordeeld, staat Ahmed voor een maximale straf van vijf jaar in de federale gevangenis voor elke telling. De zaak wordt onderzocht door het US Federal Bureau of Investigation (FBI) met hulp van de politie van Nieuw -Zeeland.
De aanklachten komen te midden van een reeks aankondigingen van Amerikaanse overheidsinstanties tegen verschillende criminele activiteiten –
- De DOJ ontsloeg een aanklacht die Oekraïense burger Artem Stryzhak beschuldigde met aanvallende bedrijven die Nefilim -ransomware gebruikten sinds hij in juni 2021 een filiaal werd. Hij werd in juni 2024 in Spanje gearresteerd en werd op 30 april 2025 aan de Verenigde Staten uitgeleverd.
- Tyler Robert Buchanan, een Brits onderdaan dat vermoed werd dat hij lid was van de beruchte verspreide spincybercriminaliteitsgroep, werd uit Spanje aan de Verenigde Staten uitgeleverd om beschuldigingen te ondervinden met betrekking tot draadfraude en verergerde identiteitsdiefstal. Buchanan werd in juni 2024 in Spanje gearresteerd. De aanklachten tegen hem en andere verspreide Spider -leden werden in november 2024 door de VS aangekondigd.
- Leonidas Varagiannis (aka oorlog), 21, en Prasan Nepal (aka Trippy), 20, de twee vermeende leiders van een Child Excortortion Group 764 zijn gearresteerd en beschuldigd van het regisseren en distribueren van kindermateriaal voor kinderen (CSAM). De twee mannen worden beschuldigd van het exploiteren van ten minste acht kleine slachtoffers.
- Richard Anthony Reyna Densmore, een ander lid van 764, werd in november 2024 veroordeeld tot 30 jaar in de VS voor het seksueel exploiteren van een kind. Leden van 764 zijn aangesloten bij de COM, een ongelijksoortige verzameling losjes geassocieerde groepen die financieel gemotiveerde, seksuele en gewelddadige misdaden begaan. Het bevat ook verspreide spin.
- Het Financial Crimes Enforcement Network (FINCEN) van de US Treasury Department heeft Cambodja-gebaseerde conglomeraat Huione Group aangewezen als een “instelling voor het witwassen van primair geld” voor de Zuidoost-Aziatische transnationale transnationale cybercriminaliteitsbendes die door de Democratic People’s Republic of Korea van de Democratische People-Republiek worden gefaciliteerd (DPRK). De bankvergunning van Huione Pay werd in maart 2025 ingetrokken door de Nationale Bank van Cambodja.
Ransomware -aanvallen stijgt naarmate de uitbetalingen afnemen
De ontwikkelingen komen als ransomware een blijvende dreiging blijft, zij het steeds meer gefragmenteerd en vluchtig, omdat aanhoudende acties voor wetshandhaving grote verschuivingen veroorzaken in waargenomen tactieken. Dit omvat de groeiende frequentie van coderingsloze aanvallen en de trend van cybercriminelen die zich afgaan van traditionele hiërarchische groepen ten gunste van een eenzame wolfbenadering.
“Ransomware -operaties worden steeds meer gedecentraliseerd, met een groeiend aantal voormalige gelieerde ondernemingen die ervoor kiezen om onafhankelijk te opereren in plaats van gebonden te blijven aan gevestigde groepen,” zei Halcyon.
“Deze verschuiving wordt aangedreven door verschillende factoren, waaronder verhoogde coördinatie van wetshandhaving, succesvolle verwijdering van grote ransomware -infrastructuur en een bredere duw van actoren om toeschrijving te voorkomen door merkrotatie of ongebarsten campagnes.”
Uit gegevens verzameld door Verizon blijkt dat 44% van alle geanalyseerde inbreuken in 2024 het gebruik van een ransomware -stam inhield, een stijging van 32% in 2023. Maar er is goed nieuws: meer slachtoffers dan ooit weigeren losgeld te betalen en minder organisaties zijn bereid om het losgeld te betalen.
“Voor het kalenderjaar 2024 komt het mediane losgeld betaald als $ 115.000, wat een afname is van $ 150.000 in het voorgaande jaar,” zei Verizon in haar 2025 Data Breach Investigations Report (DBIR). “64% van de slachtofferorganisaties betaalde de losgeld niet, die twee jaar geleden van 50% stegen.”
Volgens Coveware was de gemiddelde losgeldbetaling voor het eerste kwartaal van 2025 $ 552.777, een daling van 0,2% ten opzichte van het vorige kwartaal. De media -losgeldbetaling klom daarentegen 80% met $ 200.000.
“Het aantal bedrijven dat ervoor koos om een losgeld te betalen, hetzij om decoderingsleutels te verkrijgen of om een dreigingsacteur te onderdrukken om de overtredende gegevens op hun leksite te plaatsen, steeg enigszins in Q1 2025,” zei het bedrijf.
Het ransomware -betalingsresolutiepercentage voor de periode is opgeteld bij 27%, een daling van 85% in Q1 2019, 73% in Q1 2020, 56% in Q1 2021, 46% in Q1 2022, 45% in Q1 2023 en 28% in Q1 2024.
“Hoewel aanvallen zeker nog steeds plaatsvinden en nieuwe groepen elke maand blijven draaien, wordt de goed geoliede ransomware-machine die vroege RAAS-groepen gebouwd geplaagd met complicaties die onwaarschijnlijk lijken op te lossen,” voegde het eraan toe.
Ondanks deze tegenslagen vertoont ransomware geen tekenen van stoppen binnenkort, met Q1 2025 getuige van 2.289 gerapporteerde incidenten, een toename van 126% vergeleken met Q1 2024, per controlepunt. Ransomware-aanvallen zijn echter getuige geweest van een druppel van 32% maand-over-maand in maart 2025, met in totaal 600 geclaimde incidenten.
Noord -Amerika en Europa waren goed voor meer dan 80% van de gevallen. Consumentengoederen en -diensten, zakelijke diensten, industriële productie, gezondheidszorg en bouw en engineering waren de sectoren die het meest gericht waren op ransomware.
“Ransomware Incident Volumes bereiken ongekende niveaus,” zei Dr. Darren Williams, oprichter en CEO van Blackfog. “Dit biedt voortdurende uitdagingen voor organisaties die te maken hebben met aanvallers die zijn gericht op verstoring, gegevensdiefstal en afpersing. Verschillende groepen zullen ontstaan en ontbinden, maar ze richten zich allemaal op hetzelfde einddoel, gegevensuitbruik.”
