أعلنت وزارة العدل الأمريكية (DoJ) يوم الخميس توجيه اتهامات لمواطن يمني يبلغ من العمر 36 عامًا بتهمة نشر برنامج الفدية “بلاك كينجدوم” ضد أهداف عالمية، بما في ذلك شركات ومدارس ومستشفيات في الولايات المتحدة.
وتم اتهام رامي خالد أحمد من صنعاء، اليمن، بتهمة التآمر، وإلحاق أضرار متعمدة بحاسوب محمي، والتهديد بإتلاف حاسوب محمي. ويُعتقد أن أحمد ما زال يقيم في اليمن.
وقالت وزارة العدل في بيان لها: “من مارس 2021 إلى يونيو 2023، قام أحمد وآخرون بإصابة شبكات حواسيب عدة ضحايا مقيمين في الولايات المتحدة، بما في ذلك شركة خدمات الفواتير الطبية في إنسينو، ومنتجع تزلج في أوريغون، ومنطقة مدرسية في بنسلفانيا، وعيادة صحية في ويسكونسن.”
واتُهم أحمد بتطوير ونشر برنامج الفدية من خلال استغلال ثغرة أمنية في Microsoft Exchange Server تُعرف باسم ProxyLogon.
كيف عمل برنامج الفدية؟
-
قام البرنامج بتشفير بيانات الضحايا أو ادعاء سرقتها من شبكاتهم.
-
بعد التشفير، ترك البرنامج ملاحظة فدية على النظام تطلب إرسال 10,000 دولار بقيمة البيتكوين إلى عنوان مشفر يتحكم فيه شريك متآمر.
-
طُلب من الضحايا أيضًا إرسال إثبات الدفع إلى بريد إلكتروني مرتبط بـ”بلاك كينجدوم”.
-
يُقدر أن البرنامج الخبيث نُشر على حوالي 1,500 نظام حاسوبي في الولايات المتحدة وخارجها.
ارتباطات سابقة بثغرات أمنية
يُعرف هذا البرنامج الخبيث أيضًا باسم Pydomer، وسبق أن ارتبط بهجمات استغلت ثغرات في Pulse Secure VPN (CVE-2019-11510). وكشفت مايكروسوفت في مارس 2021 أنه كان أول عائلة برامج فدية تستغل ثغرات ProxyLogon.
وصفت شركة الأمن السيبراني سوفوس برنامج “بلاك كينجدوم” بأنه “بدائي وغير محترف إلى حد ما”، حيث استغل المهاجمون ثغرة ProxyLogon لنشر أصداف ويب (Web Shells)، والتي استُخدمت لاحقًا لتنزيل البرنامج الخبيث عبر أوامر PowerShell.
وأشارت التقارير إلى أن الهجمات تحمل سمات “هاكر مبتدئ لكنه متحمس”. وفي أغسطس 2021، لوحظ أن أحد المهاجمين النيجيريين حاول تجنيد موظفين مقابل مليون دولار بالبيتكوين لنشر البرنامج على شبكات الشركات كجزء من مخطط تهديد داخلي.
العقوبات المحتملة
إذا أدين، يواجه أحمد حكماً بالسجن لمدة تصل إلى 5 سنوات لكل تهمة. وتجري التحقيقات في القضية من قبل مكتب التحقيقات الفيدرالي (FBI) بمساعدة الشرطة النيوزيلندية.
حملة أمريكية ضد الجرائم الإلكترونية
جاءت هذه التهمة ضمن سلسلة إعلانات من السلطات الأمريكية حول جرائم إلكترونية مختلفة:
-
أرتيم سترايزاك (أوكراني) اُتهم باستخدام برنامج Nefilim للفدية، وتم اعتقاله في إسبانيا عام 2024 ثم تسليمه للولايات المتحدة.
-
تايلر روبرت بوكانان (بريطاني) أحد أعضاء مجموعة Scattered Spider الإجرامية، تم تسليمه من إسبانيا لمواجهة تهم الاحتيال المالي وسرقة الهوية.
-
اعتقال قائدَي مجموعة ابتزاز الأطفال 764، وهما ليونيداس فاراجيانيس (21 عامًا) وبراسان نيبال (20 عامًا)، بتهمة توزيع مواد استغلال جنسي للأطفال.
-
إدانة ريتشارد أنطوني رينا دنسمور (عضو آخر في مجموعة 764) بالسجن 30 عامًا لاستغلال الأطفال جنسيًا.
-
تصنيف HuiOne Group في كمبوديا كمؤسسة غسل أموال مرتبطة بعصابات الجرائم الإلكترونية في جنوب شرق آسيا وكوريا الشمالية.
ارتفاع هجمات الفدية مع انخفاض المدفوعات
رغم استمرار هجمات الفدية كتهديد رئيسي، تشير التقارير إلى:
-
44% من خروقات البيانات في 2024 تضمنت برامج فدية (مقارنة بـ 32% في 2023).
-
64% من الضحايا رفضوا دفع الفدية (مقارنة بـ 50% قبل عامين).
-
متوسط الفدية المدفوعة انخفض إلى 115,000 دولار في 2024 (من 150,000 دولار).
-
رغم ذلك، سُجلت 2,289 حادثة فدية في الربع الأول من 2025 (+126% مقارنة بـ 2024).
