166/68 (IT) ประจำวันอังคารที่ 6 พฤษภาคม 2568
กระทรวงยุติธรรมสหรัฐฯ (DoJ) ได้ตั้งข้อหา Rami Khaled Ahmed ชาวเยเมนอายุ 36 ปี ผู้ต้องสงสัยว่าเป็นผู้ดูแลปฏิบัติการแรนซัมแวร์ Black Kingdom หลังพบว่าเขามีส่วนเกี่ยวข้องกับการโจมตีเซิร์ฟเวอร์ Microsoft Exchange ทั่วโลกกว่า 1,500 ครั้ง รวมถึงเป้าหมายในสหรัฐฯ เช่น โรงเรียน โรงพยาบาล และธุรกิจต่าง ๆ โดยเฉพาะบริษัทบริการเรียกเก็บค่ารักษาพยาบาลในเขต San Fernando Valley รัฐแคลิฟอร์เนีย ซึ่งตามเอกสารฟ้องร้อง Ahmed และผู้ร่วมขบวนการได้ดำเนินปฏิบัติการดังกล่าวระหว่างเดือนมีนาคม 2021 ถึงมิถุนายน 2023 โดยใช้ช่องโหว่ใน Microsoft Exchange (ProxyLogon) เพื่อแพร่กระจาย Black Kingdom ransomware ไปยังเครือข่ายของเหยื่อ เมื่อมัลแวร์ทำงานสำเร็จจะทำการ encrypt ข้อมูล หรืออ้างว่าได้ขโมยข้อมูลออกจากระบบ จากนั้นจะแสดงข้อความเรียกค่าไถ่โดยให้เหยื่อโอนเงิน $10,000 เป็น Bitcoin ไปยังที่อยู่คริปโทเคอร์เรนซีของกลุ่ม และส่งหลักฐานการชำระเงินไปยังอีเมลของ Black Kingdom
Black Kingdom ถูกค้นพบครั้งแรกในเดือนกุมภาพันธ์ 2020 โดยนักวิจัยด้านความมั่นคงที่ชื่อ GrujaRS และมีลักษณะเฉพาะคือการเข้ารหัสไฟล์พร้อมเปลี่ยนนามสกุลเป็น .DEMON ในช่วงแรกแม้จะมีการทิ้งข้อความเรียกค่าไถ่ไว้ แต่ตัวมัลแวร์ยังไม่สามารถเข้ารหัสไฟล์ได้จริง อย่างไรก็ตาม ในภายหลังกลุ่มได้แก้ไขข้อบกพร่องและสามารถโจมตีได้อย่างสมบูรณ์ โดยใช้ช่องโหว่ทั้งใน Pulse Secure VPN และ ProxyLogon เพื่อแพร่กระจายมัลแวร์ ซึ่งได้รับการเฝ้าระวังโดยนักวิจัยด้านความปลอดภัยชื่อดังอย่าง Marcus Hutchins
Ahmed ยังคงอยู่ในเยเมน โดยเขาอาจจะต้องโทษจำคุกสูงสุด 5 ปีต่อข้อหา หากถูกตัดสินว่ามีความผิด โดยขณะนี้ FBI อยู่ระหว่างการสืบสวนร่วมกับสำนักงานตำรวจนิวซีแลนด์ และติดตามความเคลื่อนไหวของกลุ่ม Black Kingdom อย่างใกล้ชิด
