Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Hoa Kỳ buộc tội tin tặc Yemen đứng sau mã độc tống tiền Black Kingdom vì các cuộc tấn công vào Microsoft Exchange

10:38 | 06/05/2025
Nguyễn Hữu Hưng

Một công dân Yemen 36 tuổi, được cho là người phát triển và điều hành chính của mã độc tống tiền Black Kingdom, đã bị Hoa Kỳ truy tố vì thực hiện 1.500 cuộc tấn công vào máy chủ Microsoft Exchange.

Nghi phạm tên là Rami Khaled Ahmed, bị cáo buộc triển khai phần mềm độc hại Black Kingdom trên khoảng 1.500 máy tính ở Hoa Kỳ và một số quốc gia khác, yêu cầu trả tiền chuộc 10.000 USD bằng Bitcoin.

“Theo cáo trạng, từ tháng 3/2021 đến tháng 6/2023, Ahmed và những người khác đã lây tiến hành lây nhiễm mã độc vào mạng máy tính của một số tổ chức tại Hoa Kỳ, bao gồm một công ty dịch vụ thanh toán y tế ở Encino, một khu nghỉ dưỡng ở Oregon, một trường học ở Pennsylvania và một phòng khám sức khỏe ở Wisconsin”, thông báo của Bộ Tư pháp Hoa Kỳ cho biết.

Khi phần mềm độc hại lây nhiễm thành công, nó sẽ tạo một ghi chú đòi tiền chuộc trên hệ thống của mục tiêu, hướng dẫn nạn nhân gửi 10.000 USD Bitcoin đến một địa chỉ tiền điện tử do đồng phạm kiểm soát, đồng thời gửi bằng chứng thanh toán này đến một địa chỉ email của Black Kingdom.

Bộ Tư pháp Hoa Kỳ nhấn mạnh rằng Ahmed đã thiết kế mã độc tống tiền Black Kingdom để khai thác lỗ hổng trong Microsoft Exchange nhằm truy cập ban đầu vào các máy tính mục tiêu. Nhà nghiên cứu bảo mật Marcus Hutchins lần đầu tiên báo cáo vấn đề này vào tháng 3/2021, khi ông phát hiện ra các webshell do nhóm tin tặc Black Kingdom triển khai trên máy chủ Exchange dễ bị tấn công bởi lỗ hổng ProxyLogon.

Được biết, ProxyLogon đề cập đến một loạt lỗ hổng nghiêm trọng trong Microsoft Exchange Server được tiết lộ và khai thác lần đầu tiên vào đầu năm 2021.

Các lỗ hổng bao gồm: CVE-2021-26855 (sử dụng request giả mạo phía máy chủ để có quyền truy cập ban đầu), CVE-2021-26857 (leo thang đặc quyền), CVE-2021-26858 và CVE-2021-27065 (ghi tệp tùy ý để ghi webshell vào máy chủ). Ngay sau đó, Microsoft xác nhận rằng Black Kingdom đã xâm nhập 1.500 máy chủ Exchange bằng cách lợi dụng lỗ hổng ProxyLogon.

Vào tháng 6/2020, các nhà nghiên cứu phát hiện ra rằng Black Kingdom đã nhắm mục tiêu vào lỗ hổng CVE-2019-11510, đây là một lỗ hổng nghiêm trọng ảnh hưởng đến nền tảng Pulse Secure VPN.

Nếu bị kết tội, Ahmed phải đối mặt với mức án tối đa theo luật định là 5 năm tù liên bang cho mỗi tội danh, tổng cộng lên tới 15 năm. Bộ Tư pháp Hoa Kỳ tuyên bố Ahmed được cho là đang cư trú tại Yemen.

Twitter Zalo Facebook YouTube Copy Link QR Code
MÃ ĐỘC TỐNG TIỀN YEMEN TIN TẶC WEBSHELL PROXYLOGON BLACK KINGDOM BITCOIN BỘ TƯ PHÁP HOA KỲ HOA KỲ EXCHANGE
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết