El Departamento de Justicia de los Estados Unidos (DOJ) anunció el jueves cargos contra un ciudadano yemení de 36 años por supuestamente desplegar el ransomware del Reino Negro contra objetivos globales, incluidas empresas, escuelas y hospitales en los Estados Unidos.
Rami Khaled Ahmed de Sana’a, Yemen, ha sido acusado de un cargo de conspiración, un cargo de daño intencional a una computadora protegida y un cargo de daño amenazador a una computadora protegida. Se evalúa que Ahmed vive actualmente en Yemen.
«Desde marzo de 2021 hasta junio de 2023, Ahmed y otros infectaron redes informáticas de varias víctimas con sede en los Estados Unidos, incluida una compañía de servicios de facturación médica en Encino, una estación de esquí en Oregon, un distrito escolar en Pensilvania y una clínica de salud en Wisconsin», dijo el DOJ en un comunicado.
Ahmed está acusado de desarrollar e implementar el ransomware explotando una vulnerabilidad en Microsoft Exchange Server conocido como Proxylogon.
El ransomware trabajó en cifrado de datos de las redes informáticas de las víctimas o afirmando robar esa información de las redes. Después del cifrado, el ransomware eliminó una nota de rescate en el sistema y le ordenó a la víctima que enviara $ 10,000 en bitcoin a una dirección de criptomoneda controlada por un co-conspirador.
Supuestamente, también se les pidió a las víctimas que enviaran prueba del pago a una dirección de correo electrónico de Black Kingdom. Se estima que el ransomware se entregó en unos 1,500 sistemas informáticos en los EE. UU. Y en otros lugares.
También rastreado bajo el nombre de Pydomer, la familia de ransomware se ha vinculado previamente a los ataques que aprovechan las vulnerabilidades de VPN seguras de pulso (CVE-2019-11510), reveló Microsoft a fines de marzo de 2021, señalando que fue la primera familia de ransomware existente para capitalizar en los errores de proxylogon.
El proveedor de ciberseguridad Sophos describió el Reino Negro como «algo rudimentario y amateurish en su composición», con los atacantes aprovechando la vulnerabilidad de Proxylogon para implementar proyectiles web, que luego se usaron para emitir comandos de PowerShell para descargar el ransomware.
También dijo que la actividad lleva todas las características de un «kiddie de guión motivado». Luego, más tarde, en agosto, se observó un actor de amenaza nigeriano que intentaba reclutar empleados ofreciéndoles que pagaran $ 1 millón en Bitcoin para implementar el ransomware de Black Kingdom en las redes de las empresas como parte de un esquema de amenaza interna.
Si es declarado culpable, Ahmed enfrenta una sentencia máxima de cinco años en una prisión federal por cada cargo. El caso está siendo investigado por la Oficina Federal de Investigación de los Estados Unidos (FBI) con la asistencia de la policía de Nueva Zelanda.
Los cargos llegan en medio de una serie de anuncios de las autoridades gubernamentales de los Estados Unidos contra varias actividades criminales –
- El DOJ reveló una acusación que acusó a los ciudadanos ucranianos Artem Stryzhak de compañías atacantes que usan ransomware nefilim desde que se convirtió en un afiliado en junio de 2021. Fue arrestado en España en junio de 2024 y extraditado a los Estados Unidos el 30 de abril de 2025. Si es convencido del cargo, Stryzhak enfrenta hasta cinco años de incorporación.
- Tyler Robert Buchanan, un nacional británico sospechoso de ser miembro del notorio grupo de delitos cibernéticos dispersos, fue extraditado de España a los Estados Unidos para enfrentar cargos relacionados con fraude electrónico y robo de identidad agravado. Buchanan fue arrestado en España en junio de 2024. Los Estados Unidos anunciaron los cargos contra él y otros miembros de la araña dispersos en noviembre de 2024.
- Leonidas Varagiannis (también conocido como guerra), 21, y Prasan Nepal (también conocido como Trippy), de 20 años, los dos presuntos líderes de un grupo de extorsión infantil 764 han sido arrestados y acusados de dirigir y distribuir material de abuso sexual infantil (CSAM). Los dos hombres están acusados de explotar al menos ocho víctimas menores.
- Richard Anthony Reyna Densmore, otro miembro de 764, fue sentenciado a 30 años en los Estados Unidos en noviembre de 2024 por explotar sexualmente a un niño. Los miembros de 764 están afiliados a la COM, una colección dispar de grupos poco asociados que cometen crímenes financieros, sexuales y violentos. También incluye una araña dispersa.
- La Red de Control de Delitos Financieros (FINCEN) del Departamento de Tesoro de los Estados Unidos (FINCEN) designó al conglomerado Huione Group con sede en Camboya como una «institución de preocupación principal de lavado de dinero» para las pandillas de delitos cibernacionales transnacionales del sudeste asiático al facilitar el cebo romántico de estafadores y ser un nodo crítico para los ingresos cibernéticos de los ciberdicentes llevados a cabo por la República de la República de la Pueblo Demócrata de la Corneea (Dele). La licencia bancaria de Huione Pay fue revocada en marzo de 2025 por el Banco Nacional de Camboya.
El ransomware ataca a la sobretensión a medida que disminuye los pagos
Los desarrollos se producen cuando el ransomware sigue siendo una amenaza duradera, aunque cada vez más fragmentada y volátil, a medida que las acciones de aplicación de la ley sostenidas causan grandes cambios en las tácticas observadas. Esto incluye la creciente frecuencia de los ataques sin cifrado y la tendencia de los cibercriminales que se alejan de los grupos jerárquicos tradicionales a favor de un enfoque de lobo solitario.
«Las operaciones de ransomware están cada vez más descentralizadas, con un número creciente de ex afiliados que eligen operar de forma independiente en lugar de permanecer vinculada a los grupos establecidos», dijo Halcyon.
«Este cambio está siendo impulsado por varios factores, incluida la mayor coordinación de la aplicación de la ley, los derribos exitosos de la infraestructura de ransomware mayor y un impulso más amplio de los actores para evitar la atribución a través de la rotación de la marca o las campañas sin marca».
Los datos compilados por Verizon muestran que el 44% de todas las infracciones analizadas en 2024 implicaron el uso de una cepa de ransomware, en comparación con el 32% en 2023. Pero hay buenas noticias: más víctimas que nunca se niegan a pagar los rescates y menos organizaciones están dispuestas a pagar el rescate exigido.
«Para el año calendario 2024, la mediana de rescate pagada se convierte en $ 115,000, lo que es una disminución de $ 150,000 en el año anterior», dijo Verizon en su Informe de Investigaciones de Investigación de Datos de 2025 (DBIR). «El 64% de las organizaciones víctimas no pagaron los rescates, que era más del 50% hace dos años».
Según Coveware, el pago promedio de rescate para el primer trimestre de 2025 fue de $ 552,777, una disminución del 0.2% del trimestre anterior. El pago del rescate de los medios, en contraste, subió un 80% en $ 200,000.
«La tasa de empresas que optaron por pagar un rescate, ya sea para adquirir claves de descifrado o suprimir a un actor de amenaza de publicar los datos violados en su sitio de fuga, aumentó ligeramente en el primer trimestre de 2025», dijo la compañía.
La tasa de resolución de pago de ransomware para el período se ha fijado en un 27%, por debajo del 85% en el primer trimestre de 2019, 73% en el primer trimestre de 2020, 56% en el primer trimestre de 2021, 46% en el primer trimestre de 2022, 45% en el Q1 2023 y 28% en el Q1 2024.
«Si bien los ataques seguen ocurriendo y los nuevos grupos continúan girando cada mes, la máquina de ransomware bien engrasada que los primeros grupos de RAAS construyeron está plagado de complicaciones que parecen poco probables que se resuelvan», agregó.
A pesar de estos contratiempos, el ransomware no muestra signos de detenerse en el corto plazo, con el primer trimestre de 2025 presenciando 2,289 incidentes reportados, un aumento del 126% en comparación con el Q1 2024, por punto de control. Sin embargo, los ataques de ransomware han sido testigos de una caída del 32% mes a mes en marzo de 2025, con un total de 600 incidentes reclamados.
América del Norte y Europa representaron más del 80% de los casos. Los bienes y servicios de consumo, los servicios comerciales, la fabricación industrial, la atención médica e construcción e ingeniería fueron los sectores los más dirigidos por el ransomware.
«Los volúmenes de incidentes de ransomware están alcanzando niveles sin precedentes», dijo el Dr. Darren Williams, fundador y CEO de BlackFog. «Esto presenta desafíos continuos para las organizaciones que tratan con los atacantes centrados en la interrupción, el robo de datos y la extorsión. Los diferentes grupos surgirán y se disolverán, pero todos se centran en el mismo objetivo final, la exfiltración de datos».