Władze niemieckie zidentyfikowały Daniila Maksimowicza Szczukina, 31-letniego obywatela Rosji, jako kluczową postać stojącą za gangiem ransomware REvil i jego poprzednikiem, GandCrabem.
Identyfikacja ta oznacza znaczący rozwój śledztwa w sprawie REvil, znanej z agresywnej i odnoszącej sukcesy finansowe działalności. Zaangażowanie Szczukina w co najmniej 130 cyberataków w Niemczech w latach 2019–2021 podkreśla zagrożenie stwarzane przez zorganizowane grupy zajmujące się oprogramowaniem ransomware.
Wraz z innym podejrzanym, Anatolijem Siergiejewiczem Krawczukiem, w skoordynowanych atakach Szczukina wyłudzono prawie 2 miliony euro, powodując szkody gospodarcze o wartości ponad 35 milionów euro. Władze wymieniają Szczukina jako głównego uczestnika ewolucji taktyki oprogramowania ransomware, w szczególności modelu „podwójnego wymuszenia”, który wymaga zapłaty za odszyfrowanie i grozi publikacją danych.
GandCrab zajmujący się oprogramowaniem ransomware pojawił się po raz pierwszy w 2018 roku i wykorzystywał model partnerski w celu zwiększenia udziału hakerów w zyskach hakerów naruszających systemy korporacyjne. Do maja 2019 roku GandCrab twierdził, że przed zamknięciem zarobił ponad 2 miliardy dolarów. Następnie pojawił się gang REvil, postrzegany jako kontynuacja operacji GandCrab, ze Szczukinem posługującym się pseudonimem „NIEZNANY”.
REvil był znany z tego, że atakował duże organizacje o znacznych przychodach i ubezpieczeniach cybernetycznych, angażując się w tak zwane „polowanie na grubego zwierza”. Model ten pozwolił REvilowi działać bardziej jak firma, zlecając na zewnątrz krytyczne zadania i reinwestując zyski w celu zwiększenia możliwości swojego szkodliwego oprogramowania.
Atak na Kaseyę w 2021 r., powiązany z REvil, zakłócił funkcjonowanie ponad 1500 firm na całym świecie. Chociaż było to rozległe naruszenie, doprowadziło ono również do załamania działalności REvil, gdy FBI uzyskało dostęp do infrastruktury grupy, a następnie udostępniło bezpłatny klucz deszyfrujący.
Shchukin został wcześniej wspomniany w dokumencie Departamentu Sprawiedliwości USA z 2023 r. dotyczącym konfiskat kryptowalut powiązanych z REvil, które obejmowały portfele cyfrowe z nielegalnymi środkami o wartości ponad 317 000 dolarów. Pomimo tej identyfikacji władze stwierdziły, że Szczukin prawdopodobnie pozostaje w Rosji, co utrudnia podjęcie natychmiastowych działań organów ścigania.
Rozwój ten odzwierciedla rzadki sukces w przypisywaniu operacji oprogramowania ransomware, podkreślając ciągły wpływ organizacji strukturalnej, której pionierem był GandCrab i wykorzystywanej przez REvil. Organy ścigania zauważają, że pomimo identyfikacji operatorów ramy operacyjne nadal istnieją, co podkreśla industrializację i ewolucję krajobrazu oprogramowania ransomware.
