Il Dipartimento di Giustizia degli Stati Uniti ha recentemente accusato un cittadino yemenita di 36 anni per aver diffuso il ransomware Black Kingdom, un malware che ha colpito circa 1.500 sistemi in tutto il mondo, compresi enti pubblici, aziende, scuole e ospedali negli Stati Uniti. Secondo le autorità, Rami Khaled Ahmed, residente a Sana'a, Yemen, avrebbe orchestrato una vasta campagna di attacchi informatici tra marzo 2021 e giugno 2023, sfruttando la vulnerabilità ProxyLogon nei server Microsoft Exchange.

Il funzionamento del ransomware Black Kingdom

Il ransomware Black Kingdom, noto anche come Pydomer, agiva criptando i dati delle vittime o minacciando il furto delle informazioni. Dopo l’attacco, veniva lasciata una nota di riscatto che chiedeva il pagamento di 10.000 dollari in Bitcoin, da inviare a un indirizzo gestito dai criminali. Le vittime dovevano poi inviare una prova di pagamento via e-mail. Oltre agli Stati Uniti, anche altre nazioni sono state coinvolte.

Black Kingdom è stato uno dei primi ransomware a sfruttare le vulnerabilità ProxyLogon e, in precedenza, era stato collegato anche ad attacchi tramite vulnerabilità Pulse Secure VPN. Secondo i ricercatori di sicurezza, il malware veniva diffuso tramite web shell e lanciato attraverso comandi PowerShell, mostrando una struttura piuttosto rudimentale ma efficace. Episodi simili hanno visto anche attori nigeriani tentare di corrompere dipendenti interni offrendo elevate ricompense in Bitcoin per installare il ransomware sulle reti aziendali.

Risposta globale e nuove tendenze del ransomware

L’incriminazione di Ahmed si inserisce in una serie di operazioni globali contro il cybercrime. Recenti azioni hanno visto l’arresto e l’estradizione di affiliati ad altri importanti gruppi di ransomware come Nefilim e Scattered Spider, nonché l’abbattimento di reti criminali specializzate in riciclaggio di denaro e sfruttamento sessuale online.

Il fenomeno ransomware sta però cambiando volto. Secondo i dati più recenti, il numero di attacchi continua a crescere, ma cala la percentuale delle vittime disposte a pagare il riscatto. Nel 2024, il 64% delle organizzazioni colpite si è rifiutata di pagare, contro il 50% di due anni prima. I pagamenti medi richiesti sono in diminuzione, segno che le strategie di contrasto stanno avendo un effetto, anche se il numero assoluto di attacchi rimane elevato. Gli esperti sottolineano come le organizzazioni debbano restare vigili, puntando su prevenzione, aggiornamento dei sistemi e formazione del personale per ridurre il rischio di cadere vittima di minacce ransomware sempre più decentrate e sofisticate.