As autoridades alemãs identificaram Daniil Maksimovich Shchukin, um cidadão russo de 31 anos, como uma figura-chave por trás da gangue de ransomware REvil e de seu antecessor, GandCrab.
A identificação marca um desenvolvimento significativo na investigação do REvil, conhecido por suas operações agressivas e financeiramente bem-sucedidas. O envolvimento de Shchukin em pelo menos 130 ataques cibernéticos na Alemanha entre 2019 e 2021 sublinha a ameaça representada por grupos organizados de ransomware.
Juntamente com outro suspeito, Anatoly Sergeevitsch Kravchuk, os ataques coordenados de Shchukin extorquiram quase 2 milhões de euros e causaram mais de 35 milhões de euros em danos económicos. As autoridades citam Shchukin como o principal ator na evolução das táticas de ransomware, particularmente o modelo de “dupla extorsão”, que exige pagamento pela descriptografia e ameaça a publicação de dados.
A gangue de ransomware GandCrab surgiu pela primeira vez em 2018, utilizando um modelo de afiliados para aumentar a participação nos lucros entre hackers que violam sistemas corporativos. Em maio de 2019, o GandCrab afirmou ter ganho mais de US$ 2 bilhões antes de seu fechamento. A gangue REvil apareceu posteriormente, vista como uma continuação das operações do GandCrab, com Shchukin utilizando o pseudônimo “UNKNOWN”.
REvil era conhecido por ter como alvo grandes organizações com receitas significativas e seguros cibernéticos, engajando-se no que é chamado de “caça aos grandes jogos”. Este modelo permitiu que o REvil operasse mais como um negócio, terceirizando tarefas críticas e reinvestindo os lucros para aprimorar suas capacidades de malware.
O ataque de 2021 a Kaseya, ligado ao REvil, perturbou mais de 1.500 empresas em todo o mundo. Embora tenha sido uma violação extensa, também levou ao declínio das operações do REvil quando o FBI acessou a infraestrutura do grupo e posteriormente liberou uma chave de descriptografia gratuita.
Shchukin foi mencionado anteriormente em um processo de 2023 do Departamento de Justiça dos EUA sobre apreensões de criptomoedas vinculadas ao REvil, que incluíam carteiras digitais com mais de US$ 317.000 em fundos ilícitos. Apesar desta identificação, as autoridades afirmaram que Shchukin provavelmente permanece na Rússia, tornando as ações imediatas de aplicação da lei um desafio.
Este desenvolvimento reflete um raro sucesso na atribuição de operações de ransomware, destacando a influência contínua da organização estrutural iniciada pelo GandCrab e utilizada pelo REvil. As autoridades policiais observam que, apesar da identificação dos operadores, o quadro operacional continua, sublinhando a industrialização e a evolução do panorama do ransomware.
