EE. UU. acusa a un hacker yemení responsable del ransomware Black Kingdom que afectó a 1.500 sistemas.

El Departamento de Justicia de Estados Unidos (DoJ) informó el jueves sobre la presentación de cargos contra un ciudadano yemení de 36 años, acusado de llevar a cabo ataques con el ransomware Black Kingdom contra múltiples objetivos en todo el mundo, entre ellos empresas, instituciones educativas y hospitales en Estados Unidos.

Rami Khaled Ahmed, originario de Saná, Yemen, enfrenta acusaciones por conspiración, daño intencional a sistemas informáticos protegidos y amenazas relacionadas con dichos sistemas. Las autoridades creen que actualmente reside en Yemen.

“Entre marzo de 2021 y junio de 2023, Ahmed y sus cómplices comprometieron redes informáticas pertenecientes a varias víctimas dentro de Estados Unidos, incluyendo una empresa de servicios de facturación médica ubicada en Encino, una estación de esquí en Oregón, un distrito escolar en Pensilvania y una clínica de salud en Wisconsin”, indicó el Departamento de Justicia.

Se le imputa haber creado y distribuido el ransomware explotando la vulnerabilidad ProxyLogon en Microsoft Exchange Server.

El ataque consistía en cifrar los datos alojados en las redes de las víctimas o alegar haberlos robado. Tras completar el cifrado, se dejaba una nota de rescate con instrucciones para enviar $10,000 en bitcoin a una billetera controlada por un cómplice del atacante.

Además, se requería que las víctimas enviaran un comprobante del pago a una dirección de correo electrónico vinculada con Black Kingdom. Se estima que el malware afectó a unos 1,500 sistemas informáticos tanto en EE.UU. como en otras naciones.

También conocido como Pydomer, este tipo de ransomware ha sido asociado con ataques que aprovecharon fallos en Pulse Secure VPN (CVE-2019-11510). Microsoft lo identificó a finales de marzo de 2021 como el primer ransomware conocido en explotar las fallas de ProxyLogon.

Ciberseguridad

La firma de ciberseguridad Sophos describió a Black Kingdom como un malware “rudimentario y amateur”, señalando que los atacantes usaron ProxyLogon para instalar shells web, con los que luego ejecutaban comandos de PowerShell y descargaban el ransomware.

Sophos también destacó que la campaña parecía impulsada por actores sin experiencia, conocidos como “script kiddies”. En agosto de ese año, se reportó que un actor nigeriano intentó reclutar empleados de empresas ofreciéndoles un millón de dólares en bitcoin a cambio de instalar Black Kingdom desde dentro de las redes corporativas, como parte de un esquema de amenazas internas.

Si es hallado culpable, Ahmed podría enfrentar hasta cinco años de prisión federal por cada uno de los cargos presentados. El caso está siendo investigado por el FBI con la colaboración de la policía de Nueva Zelanda.

Este anuncio se suma a una serie de acciones recientes del gobierno de EE.UU. en su lucha contra el cibercrimen.

El DoJ también reveló una acusación formal contra Artem Stryzhak, ciudadano ucraniano, por su participación en ataques con el ransomware Nefilim desde junio de 2021. Stryzhak fue detenido en España en junio de 2024 y extraditado a EE.UU. el 30 de abril de 2025. Enfrenta una posible pena de hasta cinco años de prisión.

Asimismo, el ciudadano británico Tyler Robert Buchanan, presunto miembro del grupo de ciberdelincuencia Scattered Spider, fue extraditado desde España para enfrentar cargos de fraude electrónico y robo agravado de identidad. Fue arrestado en junio de 2024, y su acusación formal fue anunciada en noviembre del mismo año.

Leonidas Varagiannis (alias War), de 21 años, y Prasan Nepal (alias Trippy), de 20, han sido detenidos por liderar el grupo de explotación infantil 764, acusado de crear y distribuir material de abuso sexual infantil (MASI). Se les atribuye la explotación de al menos ocho víctimas menores de edad.

Otro integrante de 764, Richard Anthony Reyna Densmore, recibió una sentencia de 30 años en EE.UU. en noviembre de 2024 por delitos sexuales contra un menor. 764 está vinculado a The Com, un conglomerado informal de grupos criminales centrados en fines económicos, sexuales y violentos, que también incluye a Scattered Spider.

Por otro lado, la Red de Control de Delitos Financieros (FinCEN) del Departamento del Tesoro designó al conglomerado camboyano HuiOne Group como una “institución de principal preocupación en materia de lavado de dinero”, por facilitar estafas románticas y operar como canal para lavar dinero proveniente de ciberataques, incluso aquellos atribuidos a Corea del Norte. En marzo de 2025, el Banco Nacional de Camboya revocó la licencia de HuiOne Pay.

Ransomware: más ataques, menores beneficios

Estas acciones tienen lugar en un contexto de amenaza persistente por parte del ransomware, aunque la industria está atravesando cambios marcados por su fragmentación. Las operaciones policiales están provocando ajustes en las tácticas utilizadas, incluyendo un mayor número de ataques sin cifrado y el abandono de los grupos estructurados en favor de operaciones individuales.

“Las campañas de ransomware se están volviendo cada vez más dispersas, con ex afiliados que prefieren actuar por su cuenta”, señaló Halcyon.

Este cambio obedece a varios factores, como la intensificación de la cooperación entre autoridades, la eliminación de infraestructuras clave y la necesidad de los atacantes de evitar la detección rotando identidades o eliminando marcas reconocibles.

Según datos de Verizon, en 2024 el 44% de las violaciones de seguridad analizadas involucraron ransomware, en comparación con el 32% en 2023. A pesar del incremento en ataques, un número creciente de víctimas se niega a pagar los rescates exigidos.

“El rescate promedio en 2024 fue de $115,000, una reducción frente a los $150,000 registrados en 2023”, según el Informe DBIR 2025 de Verizon. Además, el 64% de las víctimas se negó a pagar, en contraste con el 50% de dos años atrás.

Coveware indicó que el promedio de pagos en el primer trimestre de 2025 fue de $552,777, apenas un 0.2% menos que el trimestre anterior. Sin embargo, los pagos dirigidos a medios de comunicación aumentaron un 80%, alcanzando los $200,000.

La tasa de resolución de pagos de ransomware se ubicó en 27% en ese período, una baja significativa desde el 85% en el primer trimestre de 2019. Desde entonces, ha venido descendiendo constantemente: 73% en 2020, 56% en 2021, 46% en 2022, 45% en 2023 y 28% en 2024.

Aunque las estructuras criminales enfrentan obstáculos, el ransomware sigue expandiéndose. Se reportaron 2,289 incidentes solo en el primer trimestre de 2025, un aumento del 126% respecto al mismo período del año anterior, según Check Point. No obstante, en marzo de 2025 los ataques descendieron un 32%, con 600 casos reportados.

Norteamérica y Europa concentraron más del 80% de los ataques. Los sectores más golpeados fueron consumo, servicios empresariales, manufactura, salud y construcción.

“El volumen de ataques de ransomware ha alcanzado niveles sin precedentes”, declaró Darren Williams, CEO de BlackFog. “Aunque los grupos cambian, el objetivo sigue siendo el mismo: robar datos y ejercer presión mediante extorsión”.

Fuente: thehackernews.com

You May Also Like

Hackers patrocinados por el Estado utilizan la táctica ClickFix como arma en campañas de malware dirigidas

Los investigadores descubren 3 vulnerabilidades en el servicio de administración de API de Microsoft Azure

Los expertos detallan la nueva vulnerabilidad de Windows sin clic para el robo de credenciales NTLM