Departemen Kehakiman AS (DOJ) pada hari Kamis mengumumkan tuduhan terhadap warga negara Yaman yang berusia 36 tahun karena diduga menggunakan ransomware kerajaan hitam terhadap target global, termasuk bisnis, sekolah, dan rumah sakit di Amerika Serikat.
Rami Khaled Ahmed dari Sana'a, Yaman, telah didakwa dengan satu tuduhan konspirasi, satu tuduhan kerusakan yang disengaja pada komputer yang dilindungi, dan satu tuduhan kerusakan yang mengancam pada komputer yang dilindungi. Ahmed dinilai saat ini tinggal di Yaman.
“Dari Maret 2021 hingga Juni 2023, Ahmed dan yang lainnya terinfeksi jaringan komputer dari beberapa korban yang berbasis di AS, termasuk perusahaan jasa penagihan medis di Encino, sebuah resor ski di Oregon, sebuah distrik sekolah di Pennsylvania, dan klinik kesehatan di Wisconsin,” kata DOJ dalam sebuah pernyataan.
Ahmed dituduh mengembangkan dan menggunakan ransomware dengan mengeksploitasi kerentanan di Microsoft Exchange Server yang dikenal sebagai Proxylogon.
Ransomware bekerja dengan mengenkripsi data dari jaringan komputer korban atau mengklaim mencuri informasi itu dari jaringan. Enkripsi pos, ransomware menjatuhkan uang tebusan pada sistem dan mengarahkan korban untuk mengirim bitcoin senilai $ 10.000 ke alamat cryptocurrency yang dikendalikan oleh co-konspirator.
Korban juga diduga diminta untuk mengirim bukti pembayaran ke alamat email Kerajaan Hitam. Ransomware diperkirakan telah dikirimkan pada sekitar 1.500 sistem komputer di AS dan di tempat lain.
Juga dilacak dengan nama Pydomer, keluarga ransomware sebelumnya telah dikaitkan dengan serangan mengambil keuntungan dari kerentanan VPN Pulse Secure (CVE-2019-11510), Microsoft mengungkapkan pada akhir Maret 2021, mencatat bahwa itu adalah keluarga ransomware pertama yang ada untuk memanfaatkan flaw Proxylogon.
Vendor Cybersecurity Sophos menggambarkan Kerajaan Hitam sebagai “agak belum sempurna dan amatir dalam komposisinya,” dengan para penyerang memanfaatkan kerentanan proxylogon untuk menggunakan cangkang web, yang kemudian digunakan untuk mengeluarkan perintah PowerShell untuk mengunduh ransomware.
Ia juga mengatakan aktivitas tersebut memiliki semua ciri khas dari “skrip-kiddie yang termotivasi.” Kemudian kemudian Agustus itu, seorang aktor ancaman Nigeria diamati berusaha merekrut karyawan dengan menawarkan mereka untuk membayar $ 1 juta dalam Bitcoin untuk menggunakan Black Kingdom Ransomware pada jaringan perusahaan sebagai bagian dari skema ancaman orang dalam.
Jika terbukti bersalah, Ahmed menghadapi hukuman maksimum lima tahun di penjara federal untuk setiap hitungan. Kasus ini sedang diselidiki oleh Biro Investigasi Federal AS (FBI) dengan bantuan dari polisi Selandia Baru.
Tuduhan itu datang di tengah rakit pengumuman dari otoritas pemerintah AS terhadap berbagai kegiatan kriminal –
- DOJ membuka dakwaan yang menuduh warga negara Ukraina Artem Stryzhak dengan perusahaan penyerang menggunakan nefilim ransomware sejak menjadi afiliasi pada Juni 2021. Dia ditangkap di Spanyol pada Juni 2024 dan diekstradisi ke Amerika Serikat pada 30 April 2025. Jika dihukum tuduhan itu, Stryzhak Faces hingga lima tahun.
- Tyler Robert Buchanan, seorang warga negara Inggris yang dicurigai sebagai anggota kelompok cybercrime laba -laba yang terkenal berserakan, diekstradisi dari Spanyol ke Amerika Serikat untuk menghadapi tuduhan terkait dengan penipuan kawat dan pencurian identitas yang diperburuk. Buchanan ditangkap di Spanyol pada Juni 2024. Tuduhan terhadapnya dan anggota laba -laba yang tersebar lainnya diumumkan oleh AS pada November 2024.
- Leonidas varagianis (alias perang), 21, dan Prasan Nepal (alias Trippy), 20, dua pemimpin kelompok pemerasan anak 764 telah ditangkap dan didakwa mengarahkan dan mendistribusikan materi pelecehan seksual anak (CSAM). Kedua pria itu dituduh mengeksploitasi setidaknya delapan korban kecil.
- Richard Anthony Reyna Densmore, anggota lain dari 764, dijatuhi hukuman 30 tahun di AS pada bulan November 2024 karena mengeksploitasi seorang anak secara seksual. Anggota 764 berafiliasi dengan COM, koleksi yang berbeda dari kelompok terkait longgar yang melakukan kejahatan yang termotivasi secara finansial, seksual, dan kekerasan. Ini juga termasuk laba -laba yang tersebar.
- Jaringan Penegakan Kejahatan Keuangan Departemen Keuangan AS (FINCEN) menunjuk kelompok konglomerat Huione yang berbasis di Kamboja sebagai “institusi kepedulian pencucian uang utama” untuk geng-geng kejahatan cyber transnasional Asia Tenggara dengan memfasilitasi romansa romansa yang dikelilingi oleh orang-orang yang melayani oleh orang-orang yang dikembangkan oleh orang-orang Korea. Lisensi Perbankan Huione Pay dicabut pada Maret 2025 oleh Bank Nasional Kamboja.
Serangan ransomware melonjak saat imbalan berkurang
Perkembangan datang karena ransomware terus menjadi ancaman yang bertahan lama, meskipun semakin terfragmentasi dan tidak stabil, karena tindakan penegakan hukum yang berkelanjutan menyebabkan perubahan besar dalam taktik yang diamati. Ini termasuk frekuensi meningkat dari serangan tanpa enkripsi dan tren penjahat cyber yang bergerak menjauh dari kelompok hierarkis tradisional yang mendukung pendekatan serigala sendirian.
“Operasi ransomware menjadi semakin terdesentralisasi, dengan semakin banyak afiliasi yang dipilih untuk beroperasi secara mandiri daripada tetap terikat pada kelompok -kelompok yang sudah mapan,” kata Halcyon.
“Pergeseran ini didorong oleh beberapa faktor, termasuk peningkatan koordinasi penegakan hukum, penghapusan infrastruktur ransomware utama yang berhasil, dan dorongan yang lebih luas oleh para aktor untuk menghindari atribusi melalui rotasi merek atau kampanye yang tidak bermerek.”
Data yang dikumpulkan oleh Verizon menunjukkan bahwa 44% dari semua pelanggaran yang dianalisis pada tahun 2024 melibatkan penggunaan strain ransomware, naik dari 32% pada tahun 2023. Tetapi ada kabar baik: lebih banyak korban daripada sebelumnya menolak untuk membayar tebusan dan lebih sedikit organisasi yang bersedia membayar tebusan yang diminta.
“Untuk kalender tahun 2024, tebusan median yang dibayarkan muncul sebagai $ 115.000, yang merupakan penurunan dari $ 150.000 pada tahun sebelumnya,” kata Verizon dalam Laporan Investigasi Pelanggaran Data 2025 (DBIR). “64% dari organisasi korban tidak membayar tebusan, yang naik dari 50% dua tahun lalu.”
Menurut Coveware, pembayaran tebusan rata -rata untuk kuartal pertama 2025 adalah $ 552.777, penurunan 0,2% dari kuartal sebelumnya. Pembayaran tebusan media, sebaliknya, naik 80% sebesar $ 200.000.
“Tingkat perusahaan yang memilih untuk membayar tebusan, baik untuk mendapatkan kunci dekripsi atau untuk menekan aktor ancaman dari memposting data yang dilanggar di situs kebocoran mereka, naik sedikit pada Q1 2025,” kata perusahaan itu.
Tingkat resolusi pembayaran ransomware untuk periode tersebut telah dihitung pada 27%, turun dari 85% pada Q1 2019, 73% pada Q1 2020, 56% pada Q1 2021, 46% pada Q1 2022, 45% pada Q1 2023, dan 28% pada Q1 2024.
“Sementara serangan pasti masih terjadi dan kelompok-kelompok baru terus berputar setiap bulan, mesin ransomware yang diminyaki dengan baik yang dibangun oleh kelompok RAAS awal terganggu dengan komplikasi yang tampaknya tidak mungkin diselesaikan,” tambahnya.
Terlepas dari kemunduran ini, ransomware tidak menunjukkan tanda -tanda berhenti dalam waktu dekat, dengan Q1 2025 menyaksikan 2.289 insiden yang dilaporkan, peningkatan 126% dibandingkan dengan Q1 2024, per titik cek. Serangan ransomware, bagaimanapun, telah menyaksikan penurunan 32% bulan ke bulan pada Maret 2025, dengan total 600 insiden yang diklaim.
Amerika Utara dan Eropa menyumbang lebih dari 80% kasus. Barang dan jasa konsumen, layanan bisnis, manufaktur industri, perawatan kesehatan, dan konstruksi dan teknik adalah sektor yang paling ditargetkan oleh ransomware.
“Volume insiden ransomware mencapai tingkat yang belum pernah terjadi sebelumnya,” kata Dr. Darren Williams, pendiri dan CEO Blackfog. “Ini menghadirkan tantangan berkelanjutan bagi organisasi yang berurusan dengan penyerang yang berfokus pada gangguan, pencurian data, dan pemerasan. Kelompok yang berbeda akan muncul dan bubar, tetapi mereka semua fokus pada tujuan akhir yang sama, exfiltrasi data.”
