Giovedì il Dipartimento di Giustizia degli Stati Uniti (DOJ) ha annunciato accuse contro un nazionale yemenite di 36 anni per aver presumibilmente dispiegato il ransomware del Regno Nero contro obiettivi globali, tra cui aziende, scuole e ospedali negli Stati Uniti.
Rami Khaled Ahmed di Sana’a, Yemen, è stato accusato di un conteggio di cospirazione, un conteggio di danni intenzionali a un pc protetto e un conteggio di danni minacciosi a un pc protetto. Si valuta che Ahmed vivesse attualmente nello Yemen.
“Dal marzo 2021 a giugno 2023, Ahmed e altri reti informatiche infette di various vittime con sede negli Stati Uniti, tra cui una società di servizi di fatturazione medica a Encino, una stazione sciistica in Oregon, un distretto scolastico in Pennsylvania e una clinica sanitaria in Wisconsin” disse in una dichiarazione.
Ahmed è accusato di sviluppare e distribuire il ransomware sfruttando una vulnerabilità in Microsoft Change Server noto come Proxylogon.
Il ransomware ha funzionato crittografando i dati dalle reti di pc delle vittime o affermando di rubare tali informazioni dalle reti. Dopo la crittografia, il ransomware ha lasciato cadere una nota di riscatto sul sistema e ha ordinato alla vittima di inviare $ 10.000 di bitcoin a un indirizzo di criptovaluta controllato da un co-cospiratore.
Ai vittime è stato anche chiesto di inviare la prova del pagamento a un indirizzo e -mail del Regno Black. Si stima che il ransomware sia stato consegnato su circa 1.500 sistemi informatici negli Stati Uniti e altrove.
Tracciato anche con il nome Pydomer, la famiglia Ransomware è stata precedentemente collegata agli attacchi che sfruttano le vulnerabilità VPN Pulse Safe (CVE-2019-11510), Microsoft rivelato Alla superb di marzo 2021, osservando che fu la prima famiglia ransomware esistente a capitalizzare i difetti di Proxylogon.
Fornitore di sicurezza informatica Sophos descritto Il regno nero come “in qualche modo rudimentale e amatoriale nella sua composizione”, con gli aggressori che sfruttano la vulnerabilità del proxylogon di distribuire shell Internet, che sono state quindi utilizzate per emettere comandi PowerShell per scaricare il ransomware.
Ha anche detto che l’attività porta tutti i segni distintivi di una “sceneggiatura motivata-kiddie”. Poi più tardi quell’agosto, un attore della minaccia nigeriana lo period osservato Tentando di reclutare dipendenti offrendo loro di pagare $ 1 milione in Bitcoin per distribuire il ransomware del Black Kingdom sulle reti delle aziende come parte di uno schema di minaccia per insider.
Se condannato, Ahmed affronta una pena massima di cinque anni in prigione federale per ogni conteggio. Il caso è stato indagato dal Federal Bureau of Investigation (FBI) degli Stati Uniti con assistenza della polizia neozelandese.
Le accuse arrivano in una serie di annunci da parte delle autorità governative statunitensi contro varie attività criminali –
- Il doj non sigillato Un’accusa che accusò il cittadino ucraino Artem Stryzhak con le compagnie attaccanti che utilizzano Nefilim Ransomware da quando è diventato un affiliato nel giugno 2021. Fu arrestato in Spagna nel giugno 2024 ed estradato negli Stati Uniti il 30 aprile 2025. Se condannato per l’accusa, Stryzhak rischia fino a cinque anni di reclusione.
- Tyler Robert Buchanan, un cittadino britannico sospettato di essere un membro del famigerato gruppo di criminalità di ragno sparso, period estradato Dalla Spagna agli Stati Uniti alle accuse relative alla frode filo e al furto di identità aggravata. Buchanan period arrestato in Spagna nel giugno 2024. Le accuse contro di lui e altri membri di ragno sparse erano annunciato dagli Stati Uniti nel novembre 2024.
- Leonidas Varagiannis (aka Warfare), 21, e Prasan Nepal (aka Trippy), 20 anni, sono stati i due presunti chief di un gruppo di estorsione childish 764 arrestato e accusato con la regia e la distribuzione di materiale per abusi sessuali su minori (CSAM). I due uomini sono accusati di sfruttare almeno otto vittime minori.
- Richard Anthony Reyna Densmore, un altro membro di 764, period condannato a 30 anni negli Stati Uniti nel novembre 2024 per aver sfruttato sessualmente un bambino. I membri di 764 sono affiliati Il comuna raccolta disparata di gruppi vagamente associati che commettono crimini finanziariamente motivati, sessuali e violenti. Embrace anche ragno sparso.
- La rete di applicazione dei crimini finanziari del Tesoro americano (FINCEN) designato Conglomerato a base in Cambogia Gruppo Huione come “istituzione di primaria riciclaggio di denaro preoccupazione “per le bande di criminalità criminaria transnazionale del sud -est asiatico facilitando Scamme da esca romanse e per aver servito come nodo critico per i proventi del riciclaggio di cyber heist realizzati dalla Repubblica popolare democratica di Corea (DPRK). La licenza bancaria di Huione Pay period revocato Nel marzo 2025 dalla Nationwide Financial institution of Cambogia.
Attacchi di ransomware Surge man mano che i payoff diminuiscono
Gli sviluppi arrivano come ransomware continua essere un minaccia duraturasebbene sempre più frammentati e volatili, poiché le forze dell’ordine sostenute stanno causando importanti cambiamenti nelle tattiche osservate. Ciò embody la crescente frequenza di attacchi senza crittografia e la tendenza dei criminali informatici che si allontanano dai tradizionali gruppi gerarchici a favore di un approccio al lupo solitario.
“Le operazioni di ransomware stanno diventando sempre più decentralizzate, con un numero crescente di ex affiliati che scelgono di operare in modo indipendente piuttosto che rimanere legati a gruppi affermati”, Halcyon disse.
“Questo spostamento è guidato da diversi fattori, tra cui un aumento del coordinamento delle forze dell’ordine, i takedown di successo delle principali infrastrutture ransomware e una spinta più ampia da parte degli attori per evitare l’attribuzione attraverso la rotazione del marchio o le campagne senza marchio.”
I dati compilati da Verizon mostrano che il 44% di tutte le violazioni analizzate nel 2024 prevedeva l’uso di una tensione ransomware, rispetto al 32% nel 2023. Ma ci sono buone notizie: più vittime che mai si rifiutano di pagare riscatti e meno organizzazioni sono disposte a pagare il riscatto richiesto.
“Per l’anno civile 2024, il riscatto medio pagato arriva a $ 115.000, il che è una diminuzione da $ 150.000 dell’anno precedente”, Verizon disse Nel suo rapporto sulle indagini sulla violazione dei dati del 2025 (DBIR). “Il 64% delle organizzazioni delle vittime non ha pagato il riscatto, che è aumentato dal 50% due anni fa.”
Secondo Coveware, il pagamento medio di riscatto per il primo trimestre del 2025 è stato di $ 552.777, un calo dello 0,2% rispetto al trimestre precedente. Il pagamento del riscatto dei media, al contrario, è aumentato dell’80% di $ 200.000.
“Il tasso di aziende che hanno deciso di pagare un riscatto, per procurarsi le chiavi di decrittografia o di sopprimere un attore di minaccia di pubblicare i dati violati sul loro sito di perdite, è aumentato leggermente nel primo trimestre del 2025”, la società disse.
Il tasso di risoluzione del pagamento del ransomware per il periodo è stato paragonato al 27%, in calo rispetto all’85% nel primo trimestre 2019, 73% nel primo trimestre del 2020, 56% nel primo trimestre 2021, 46% nel primo trimestre 2022, 45% nel primo trimestre 2023 e 28% nel primo trimestre 2024.
“Mentre gli attacchi si verificano sicuramente ancora e nuovi gruppi continuano a girare ogni mese, la macchina ransomware ben oliata che i primi gruppi di RAAS costruiti è afflitta da complicazioni che sembrano improbabili che risolveranno”, ha aggiunto.
Nonostante queste battute d’arresto, Ransomware non mostra alcun segno di arresto in qualsiasi momento presto, con il primo trimestre del 2025 che assiste a 2.289 incidenti segnalati, un aumento del 126% rispetto al primo trimestre 2024, per Punto di controllo. Gli attacchi ransomware, tuttavia, hanno testimoniato Un drop del 32% mese su mese nel marzo 2025, con un totale di 600 incidenti richiesti.
Il Nord America e l’Europa rappresentavano oltre l’80% dei casi. Beni e servizi di consumo, servizi aziendali, produzione industriale, sanità e costruzione e ingegneria sono stati i settori più mirati da ransomware.
“I volumi di incidenti ransomware stanno raggiungendo livelli senza precedenti”, il dott. Darren Williams, fondatore e CEO di BlackFog, disse. “Ciò presenta sfide in corso per le organizzazioni che si occupano di aggressori incentrati su interruzioni, furto di dati e estorsione. Diversi gruppi emergeranno e si scioglieranno, ma si concentrano tutti sullo stesso obiettivo finale, esfiltrazione di dati.”
