Niemcy ujawniają tożsamość szefa gangów REvil i GandCrab – Daniil Shchukin aresztowany

Niemieckie organy ścigania ujawniły tożsamość oraz wizerunek tajemniczego hakera, który działał pod pseudonimem „UNKN” i stał na czele dwóch najgroźniejszych rosyjskich gangów ransomware: GandCrab i REvil. Według informacji Federalnego Urzędu Policji Kryminalnej (BKA), 31-letni Daniil Maksimowicz Shchukin kierował obydwoma strukturami przestępczymi w latach 2019–2021, przeprowadzając co najmniej 130 ataków cybernetycznych na ofiary w Niemczech.

Wraz z 43-letnim Anatoly Sergeeviczem Kravchukiem Shchukin miał wymusić okup w wysokości blisko 2 milionów euro w co najmniej 24 atakach, które spowodowały łączne straty gospodarcze przekraczające 35 milionów euro. BKA określiło ich działalność jako jedną z największych globalnych operacji ransomware w historii.

Podwójne wymuszenia – metoda działania REvil i GandCrab

Shchukin, znany również jako „UNKN” lub „UNKNOWN”, był szefem gangu GandCrab, który jako pierwszy wprowadził taktykę podwójnego wymuszenia. Polegała ona na żądaniu okupu w dwóch etapach: pierwszym było odblokowanie zaszyfrowanych danych po zapłacie, drugim – zapłata za nieujawnianie wykradzionych informacji. Ta metoda stała się standardem dla późniejszych grup ransomware.

W lutym 2023 roku amerykański Departament Sprawiedliwości wystąpił o zajęcie kont kryptowalutowych powiązanych z działalnością REvil. Według dokumentów, portfel cyfrowy powiązany z Shchukinem zawierał ponad 317 tysięcy dolarów w nielegalnie pozyskanych środkach.

GandCrab: od narodzin do upadku

Gang GandCrab pojawił się na scenie cyberprzestępczej w styczniu 2018 roku i szybko stał się jednym z najbardziej dochodowych programów ransomware. Operatorzy oferowali hakerom udział w zyskach sięgających nawet 60–70% w zamian za infekowanie systemów dużych korporacji. Po uzyskaniu dostępu, członkowie gangu kradli wrażliwe dane, które następnie wykorzystywali do szantażu.

W ciągu roku GandCrab wydał pięć głównych wersji swojego szkodliwego oprogramowania, każda z nowymi funkcjami mającymi utrudnić wykrycie przez firmy zajmujące się cyberbezpieczeństwem. W maju 2019 roku gang ogłosił jednak swoje „emeryturę”, chwaląc się, że w ciągu zaledwie roku działalności zarobili ponad 2 miliardy dolarów. W pożegnalnym oświadczeniu napisali:

„Jesteśmy żywym dowodem, że można czynić zło i ujść na sucho. Udowodniliśmy, że można zarobić majątek życia w rok. Udowodniliśmy, że można stać się numerem jeden za powszechną zgodą, nie tylko w swojej wyobraźni.”

REvil – następca GandCraba

Gdy GandCrab zaprzestał działalności, na jego miejsce pojawił się REvil, którego lider również posługiwał się pseudonimem „UNKNOWN”. W 2019 roku na rosyjskim forum hakerskim zadeklarował depozyt 1 miliona dolarów w systemie escrow, aby udowodnić swoją wiarygodność. Wielu ekspertów ds. cyberbezpieczeństwa uznało REvil za kontynuację GandCraba.

W wywiadzie udzielonym Dmitrijowi Smilyanetsowi, byłemu hakerowi współpracującemu z Recorded Future, „UNKNOWN” opisał swoją historię życia jako „z nędzy do bogactwa”, bez ograniczeń moralnych.

„Jako dziecko przeszukiwałem śmietniki i paliłem niedopałki papierosów. Codziennie pokonywałem 10 kilometrów w jedną stronę, aby dotrzeć do szkoły.”

Shchukin i Kravchuk zostali zatrzymani w wyniku międzynarodowej współpracy organów ścigania. Ich działalność stanowi jeden z najpoważniejszych przypadków cyberprzestępczości w ostatnich latach, a ujawnienie ich tożsamości jest kolejnym krokiem w walce z globalnym zagrożeniem ransomware.