Le autorità tedesche hanno identificato Daniil Maksimovich Shchukin, un cittadino russo di 31 anni, come una figura chiave dietro la banda di ransomware REvil e il suo predecessore, GandCrab.
L’identificazione segna uno sviluppo significativo nelle indagini su REvil, noto per le sue operazioni aggressive e di successo finanziario. Il coinvolgimento di Shchukin in almeno 130 attacchi informatici in Germania tra il 2019 e il 2021 sottolinea la minaccia rappresentata dai gruppi di ransomware organizzati.
Insieme a un altro sospettato, Anatoly Sergeevitsch Kravchuk, gli attacchi coordinati di Shchukin hanno estorto quasi 2 milioni di euro causando danni economici per oltre 35 milioni di euro. Le autorità citano Shchukin come attore principale nell’evoluzione delle tattiche ransomware, in particolare il modello della “doppia estorsione” che richiede il pagamento per la decrittazione e minaccia la pubblicazione dei dati.
Il gruppo di ransomware GandCrab è emerso per la prima volta nel 2018, utilizzando un modello di affiliazione per aumentare la condivisione dei profitti tra gli hacker che violano i sistemi aziendali. A maggio 2019, GandCrab ha affermato di aver guadagnato oltre 2 miliardi di dollari prima della sua chiusura. Successivamente è apparsa la banda REvil, vista come una continuazione delle operazioni di GandCrab, con Shchukin che utilizzava lo pseudonimo di “UNKNOWN”.
REvil era noto per prendere di mira grandi organizzazioni con ricavi significativi e assicurazioni informatiche, impegnandosi in quella che viene definita “caccia grossa”. Questo modello ha consentito a REvil di operare più come un’azienda, esternalizzando attività critiche e reinvestindo i profitti per migliorare le proprie capacità malware.
L’attacco del 2021 a Kaseya, collegato a REvil, ha interrotto oltre 1.500 aziende a livello globale. Sebbene si sia trattato di una violazione estesa, ha portato anche al declino delle operazioni di REvil quando l’FBI ha avuto accesso all’infrastruttura del gruppo e successivamente ha rilasciato una chiave di decrittazione gratuita.
Shchukin è stato precedentemente menzionato in una dichiarazione del Dipartimento di Giustizia degli Stati Uniti del 2023 riguardante sequestri di criptovalute legati a REvil, che includevano portafogli digitali con oltre $ 317.000 in fondi illeciti. Nonostante questa identificazione, le autorità hanno affermato che Shchukin probabilmente rimane in Russia, rendendo difficili le azioni immediate delle forze dell’ordine.
Questo sviluppo riflette un raro successo nell’attribuire operazioni di ransomware, evidenziando la continua influenza dell’organizzazione strutturale introdotta da GandCrab e utilizzata da REvil. Le forze dell’ordine rilevano che, nonostante l’identificazione degli operatori, il quadro operativo continua, sottolineando l’industrializzazione e l’evoluzione del panorama dei ransomware.
