أعلنت وزارة العدل الأميركية، يوم الخميس، توجيه اتهامات إلى المواطن اليمني رامي خالد أحمد، البالغ من العمر 36 عامًا والمقيم في العاصمة صنعاء، بتورطه في تنفيذ هجمات إلكترونية باستخدام برمجية فدية تُعرف باسم "مملكة الظلام" (Black Kingdom).

ووفقًا للبيان الرسمي، يواجه أحمد ثلاث تهم فدرالية تشمل: التآمر، والتسبب عمدًا في إلحاق ضرر بأنظمة حاسوبية محمية، والتهديد بإلحاق ضرر مماثل. وتفيد التقديرات أن المتهم لا يزال متواجدًا في اليمن.

وتشير التحقيقات إلى أن أحمد، إلى جانب متواطئين آخرين، قام خلال الفترة الممتدة بين مارس 2021 ويونيو 2023، باختراق شبكات عدد من المؤسسات داخل الولايات المتحدة، من بينها شركة خدمات طبية في إنسينو، منتجع تزلج في ولاية أوريغون، منطقة تعليمية في بنسلفانيا، وعيادة صحية في ويسكونسن.

واعتمدت الهجمات على استغلال ثغرة أمنية معروفة في خوادم Microsoft Exchange تُدعى "بروكسي لوغون" (ProxyLogon)، حيث تم نشر برمجية الفدية التي كانت إما تقوم بتشفير بيانات الضحايا أو تزعم سرقتها، ثم تترك رسالة تطالب بدفع فدية قدرها 10,000 دولار بعملة "البيتكوين" إلى محفظة رقمية يتحكم فيها أحد شركاء المتهم. وكان يُطلب من الضحايا إرسال إثبات الدفع إلى بريد إلكتروني مرتبط بالهجوم.

وقدّرت السلطات الأميركية أن البرمجية استُخدمت لاستهداف نحو 1500 نظام حاسوبي داخل الولايات المتحدة وخارجها، وعُرفت أيضًا باسم "بايدومر" (Pydomer)، حيث استُخدمت سابقًا في هجمات استغلت ثغرات في شبكة VPN لشركة Pulse Secure (الثغرة CVE-2019-11510).

وكانت شركة مايكروسوفت قد أعلنت في مارس 2021 أن "مملكة الظلام" كانت أول برمجية فدية تستغل ثغرات ProxyLogon، فيما وصفتها شركة الأمن السيبراني "سوفوس" (Sophos) بأنها "بدائية وتفتقر إلى الاحترافية"، مشيرة إلى أن المهاجمين استخدموا أدوات "ويب شيلز" للتحكم في الأنظمة وتنفيذ أوامر PowerShell لتحميل البرمجية الخبيثة.

وفي أغسطس من العام نفسه، تم الكشف عن محاولة جهة تهديد نيجيرية تجنيد موظفين داخليين داخل شركات مقابل مليون دولار بالبيتكوين لمساعدتهم في نشر "مملكة الظلام"، في إطار مخطط اختراق داخلي منسّق.