La Oficina Federal de Policía Criminal de Alemania (además conocida como BKA o Bundeskriminalamt) ha desenmascarado la identidad actual de los principales actores de amenazas asociados con el ahora desaparecido REvil (además conocido como Sodinokibi) operación de ransomware como servicio (RaaS).
El actor de amenazas, que se hacía gustar DESCONOCIDOactuó como representante del agrupación y anunció el ransomware en junio de 2019 en el foro de cibercrimen XSS. Ahora ha sido identificado como Daniil Maksimovich Shchukin, un ciudadano ruso de 31 abriles. Incluso utilizó los apodos en radio Oneiilk2, Oneillk2, Oneillk22 y GandCrab.
El periodista independiente de seguridad Brian Krebs informó sobre el avance.
“Desde principios de 2019 como mayor hasta al menos julio de 2021, la persona buscada, en cooperación con otras personas, actuó como líder de uno de los grupos de ransomware más grandes del mundo, conocido como GandCrab/REvil”, dijo BKA. “Los perpetradores exigieron grandes pagos de rescate a cambio de descifrar y no filtrar datos”.
A la cinta de buscados además se suma Anatoly Sergeevitsch Kravchuk, un ruso de 43 abriles nacido en la ciudad ucraniana de Makiivka. Se alega que actuó como desarrollador de REvil durante el mismo período de tiempo.
Se sospecha que Shchukin y Kravchuk han llevado a lado 130 ataques de ransomware en toda Alemania. De ellos, 25 casos dieron espacio al cuota de 1,9 millones de euros (2,19 millones de dólares). Los incidentes provocaron en conjunto daños financieros superiores a 35,4 millones de euros (40,8 millones de dólares).
REvil (además conocido como Water Mare y Gold Southfield) fue uno de los prolíficos grupos de ransomware que contó con empresas como JBS y Kaseya entre sus víctimas. Una proceso del ransomware GandCrab, el agrupación de delitos electrónicos se desconectó misteriosamente a mediados de julio de 2021, para resurgir dos meses a posteriori.
En octubre de 2021, el agrupación dejó de intervenir y su sitio de filtración de datos se volvió inaccesible como parte de una operación policial. Semanas más tarde, las autoridades policiales rumanas anunciaron el arresto de dos personas por su papel como afiliados de la tribu de ransomware REvil.
En una medida poco global, el Servicio Federal de Seguridad (FSB) de Rusia reveló en enero de 2022 que había arrestado a varios miembros pertenecientes a la famosa costado de ransomware REvil y neutralizado sus operaciones. Cuatro de esos miembros fueron enviados a varios abriles de prisión en octubre de 2024, informó la publicación de telediario rusa Kommersant.
UNKN además desapareció de los foros de cibercrimen coincidiendo con la operación, lo que llevó a otro afortunado, REvil (más tarde rebautizado como 0_neday), a convertirse en la cara pública de las operaciones de la pandilla.
En una entrevista con Dmitry Smilyanets de Recorded Future en marzo de 2021, UNKN dijo que había estado en el negocio del ransomware desde 2007 y que en un momento tenían hasta 60 afiliados trabajando para el agrupación.
“Cuando era chiquillo, hurgaba en los montones de basura y fumaba colillas. Caminé 10 kilómetros de ida a la escuela”, dijo. “Llevé la misma ropa durante seis meses. En mi adolescencia, en un domicilio comunal, no comí durante dos o incluso tres días. Ahora soy millonario”.
