El Sección de Honradez de los Estados Unidos (DOJ) anunció el jueves cargos contra un ciudadano yemení de 36 primaveras por supuestamente desplegar el ransomware del Reino Desfavorable contra objetivos globales, incluidas empresas, escuelas y hospitales en los Estados Unidos.
Rami Khaled Ahmed de Sana’a, Yemen, ha sido pronunciado de un cargo de conspiración, un cargo de daño intencional a una computadora protegida y un cargo de daño amenazador a una computadora protegida. Se evalúa que Ahmed vive actualmente en Yemen.
“Desde marzo de 2021 hasta junio de 2023, Ahmed y otros infectaron redes informáticas de varias víctimas con sede en los Estados Unidos, incluida una compañía de servicios de facturación médica en Encino, una fase de esquí en Oregon, un distrito escolar en Pensilvania y una clínica de lozanía en Wisconsin”, dijo el DOJ en un comunicado.
Ahmed está pronunciado de desarrollar e implementar el ransomware explotando una vulnerabilidad en Microsoft Exchange Server conocido como Proxylogon.
El ransomware trabajó en enigmático de datos de las redes informáticas de las víctimas o afirmando robar esa información de las redes. Posteriormente del enigmático, el ransomware eliminó una nota de rescate en el sistema y le ordenó a la víctima que enviara $ 10,000 en bitcoin a una dirección de criptomoneda controlada por un co-conspirador.
Supuestamente, todavía se les pidió a las víctimas que enviaran prueba del cuota a una dirección de correo electrónico de Black Kingdom. Se estima que el ransomware se entregó en unos 1,500 sistemas informáticos en los EE. UU. Y en otros lugares.
Todavía rastreado bajo el nombre de Pydomer, la comunidad de ransomware se ha vinculado previamente a los ataques que aprovechan las vulnerabilidades de VPN seguras de pulso (CVE-2019-11510), reveló Microsoft a fines de marzo de 2021, señalando que fue la primera comunidad de ransomware existente para capitalizar en los errores de proxylogon.
El proveedor de ciberseguridad Sophos describió el Reino Desfavorable como “poco rudimentario y amateurish en su composición”, con los atacantes aprovechando la vulnerabilidad de Proxylogon para implementar proyectiles web, que luego se usaron para emitir comandos de PowerShell para descargar el ransomware.
Todavía dijo que la actividad lleva todas las características de un “kiddie de signo motivado”. Luego, más tarde, en agosto, se observó un actor de amenaza nigeriano que intentaba alistar empleados ofreciéndoles que pagaran $ 1 millón en Bitcoin para implementar el ransomware de Black Kingdom en las redes de las empresas como parte de un esquema de amenaza interna.
Si es ostensible culpable, Ahmed enfrenta una sentencia máxima de cinco primaveras en una prisión federal por cada cargo. El caso está siendo investigado por la Oficina Federal de Investigación de los Estados Unidos (FBI) con la colaboración de la policía de Nueva Zelanda.
Los cargos llegan en medio de una serie de anuncios de las autoridades gubernamentales de los Estados Unidos contra varias actividades criminales –
- El DOJ reveló una delación que acusó a los ciudadanos ucranianos Artem Stryzhak de compañías atacantes que usan ransomware nefilim desde que se convirtió en un afiliado en junio de 2021. Fue arrestado en España en junio de 2024 y extraditado a los Estados Unidos el 30 de abril de 2025. Si es convencido del cargo, Stryzhak enfrenta hasta cinco primaveras de incorporación.
- Tyler Robert Buchanan, un franquista sajón sospechoso de ser miembro del patente género de delitos cibernéticos dispersos, fue extraditado de España a los Estados Unidos para enredar cargos relacionados con fraude electrónico y robo de identidad agravado. Buchanan fue arrestado en España en junio de 2024. Los Estados Unidos anunciaron los cargos contra él y otros miembros de la araña dispersos en noviembre de 2024.
- Leonidas Varagiannis (todavía conocido como refriega), 21, y Prasan Nepal (todavía conocido como Trippy), de 20 primaveras, los dos presuntos líderes de un género de perjuicio pueril 764 han sido arrestados y acusados de dirigir y distribuir material de tropelía sexual pueril (CSAM). Los dos hombres están acusados de explotar al menos ocho víctimas menores.
- Richard Anthony Reyna Densmore, otro miembro de 764, fue sentenciado a 30 primaveras en los Estados Unidos en noviembre de 2024 por explotar sexualmente a un chiquillo. Los miembros de 764 están afiliados a la COM, una colección dispar de grupos poco asociados que cometen crímenes financieros, sexuales y violentos. Todavía incluye una araña dispersa.
- La Red de Control de Delitos Financieros (FINCEN) del Sección de Fisco de los Estados Unidos (FINCEN) designó al conglomerado Huione Group con sede en Camboya como una “institución de preocupación principal de lavado de metálico” para las pandillas de delitos cibernacionales transnacionales del sudeste oriental al solucionar el cebo romántico de estafadores y ser un nodo crítico para los ingresos cibernéticos de los ciberdicentes llevados a término por la República de la República de la Pueblo Demócrata de la Corneea (Dele). La atrevimiento bancaria de Huione Pay fue revocada en marzo de 2025 por el Sotabanco Franquista de Camboya.
El ransomware ataca a la sobretensión a medida que disminuye los pagos
Los desarrollos se producen cuando el ransomware sigue siendo una amenaza duradera, aunque cada vez más fragmentada y volátil, a medida que las acciones de aplicación de la ley sostenidas causan grandes cambios en las tácticas observadas. Esto incluye la creciente frecuencia de los ataques sin enigmático y la tendencia de los cibercriminales que se alejan de los grupos jerárquicos tradicionales a honra de un enfoque de lobo solitario.
“Las operaciones de ransomware están cada vez más descentralizadas, con un número creciente de ex afiliados que eligen especular de forma independiente en ocupación de permanecer vinculada a los grupos establecidos”, dijo Halcyon.
“Este cambio está siendo impulsado por varios factores, incluida la anciano coordinación de la aplicación de la ley, los derribos exitosos de la infraestructura de ransomware anciano y un impulso más amplio de los actores para evitar la atribución a través de la rotación de la marca o las campañas sin marca”.
Los datos compilados por Verizon muestran que el 44% de todas las infracciones analizadas en 2024 implicaron el uso de una cepa de ransomware, en comparación con el 32% en 2023. Pero hay buenas noticiero: más víctimas que nunca se niegan a avalar los rescates y menos organizaciones están dispuestas a avalar el rescate debido.
“Para el año calendario 2024, la mediana de rescate pagada se convierte en $ 115,000, lo que es una disminución de $ 150,000 en el año susodicho”, dijo Verizon en su Documentación de Investigaciones de Investigación de Datos de 2025 (DBIR). “El 64% de las organizaciones víctimas no pagaron los rescates, que era más del 50% hace dos primaveras”.
Según Coveware, el cuota promedio de rescate para el primer trimestre de 2025 fue de $ 552,777, una disminución del 0.2% del trimestre susodicho. El cuota del rescate de los medios, en contraste, subió un 80% en $ 200,000.
“La tasa de empresas que optaron por avalar un rescate, ya sea para coger claves de descifrado o suprimir a un actor de amenaza de propagar los datos violados en su sitio de fuga, aumentó sutilmente en el primer trimestre de 2025”, dijo la compañía.
La tasa de resolución de cuota de ransomware para el período se ha fijado en un 27%, por debajo del 85% en el primer trimestre de 2019, 73% en el primer trimestre de 2020, 56% en el primer trimestre de 2021, 46% en el primer trimestre de 2022, 45% en el Q1 2023 y 28% en el Q1 2024.
“Si adecuadamente los ataques seguen ocurriendo y los nuevos grupos continúan girando cada mes, la máquina de ransomware adecuadamente engrasada que los primeros grupos de RAAS construyeron está plagado de complicaciones que parecen poco probables que se resuelvan”, agregó.
A pesar de estos contratiempos, el ransomware no muestra signos de detenerse en el corto plazo, con el primer trimestre de 2025 presenciando 2,289 incidentes reportados, un aumento del 126% en comparación con el Q1 2024, por punto de control. Sin retención, los ataques de ransomware han sido testigos de una caída del 32% mes a mes en marzo de 2025, con un total de 600 incidentes reclamados.
América del Septentrión y Europa representaron más del 80% de los casos. Los capital y servicios de consumo, los servicios comerciales, la fabricación industrial, la atención médica e construcción e ingeniería fueron los sectores los más dirigidos por el ransomware.
“Los volúmenes de incidentes de ransomware están alcanzando niveles sin precedentes”, dijo el Dr. Darren Williams, fundador y CEO de BlackFog. “Esto presenta desafíos continuos para las organizaciones que tratan con los atacantes centrados en la interrupción, el robo de datos y la perjuicio. Los diferentes grupos surgirán y se disolverán, pero todos se centran en el mismo objetivo final, la exfiltración de datos”.
