Identificato il capo dei ransomware REvil e GandCrab

Un hacker sfuggente, conosciuto con il nickname “UNKN” (o “UNKNOWN”), che gestiva i primi gruppi ransomware russi GandCrab e REvil, ora ha un nome e un volto. Le autorità tedesche hanno identificato il 31enne russo Daniil Maksimovich Shchukin come il capo di entrambe le gang criminali informatiche, responsabile di almeno 130 casi di sabotaggio informatico e estorsione ai danni di vittime in tutto il paese tra il 2019 e il 2021.

Shchukin è stato indicato come UNKN in un avviso pubblicato dalla polizia criminale federale tedesca (BKA). Secondo il BKA, Shchukin insieme a un altro russo, Anatoly Sergeevitsch Kravchuk di 43 anni, ha estorto quasi 2 milioni di euro in due dozzine di attacchi informatici, causando danni economici totali per oltre 35 milioni di euro.

I gruppi GandCrab e REvil hanno introdotto la pratica della “doppia estorsione”: le vittime pagavano una volta per ottenere la chiave di decrittazione dei sistemi bloccati, e una seconda per evitare la pubblicazione dei dati rubati. GandCrab era apparso per la prima volta nel gennaio 2018, pagando grosse commissioni agli affiliati che riuscivano a violare account aziendali. Il team distribuì cinque grandi aggiornamenti del codice, ciascuno con nuove funzionalità e correzioni per eludere i software di sicurezza.

Il 31 maggio 2019, GandCrab annunciò la chiusura, sostenendo di aver estorto oltre 2 miliardi di dollari. “Siamo la prova vivente che si può fare il male e farla franca”, si leggeva nel messaggio d’addio. “Abbiamo dimostrato che si può guadagnare una fortuna in un anno”. Poco dopo emerse il programma REvil, gestito sempre da UNKNOWN, che depositò 1 milione di dollari in escrow su un forum russo per dimostrare la sua serietà. Gli esperti di sicurezza conclusero rapidamente che REvil era una riorganizzazione di GandCrab.

UNKNOWN raccontò a Recorded Future di essere cresciuto in povertà: “Da bambino rovistavo nei cassonetti e fumavo mozziconi. Sono diventato milionario”. Il gruppo reinvestì pesantemente per migliorare il proprio ransomware, assumendo specialisti esterni per eludere i software antivirus e broker di accesso per violare reti aziendali. REvil si specializzò nel colpire organizzazioni con oltre 100 milioni di dollari di fatturato annuo, sfruttando le polizze di cyber assicurazione.

Nel weekend del 4 luglio 2021, REvil violò la società Kaseya, che gestiva l’IT per oltre 1.500 aziende. L’FBI rivelò di aver infiltrato i server del gruppo prima dell’attacco, e successivamente rilasciò una chiave di decrittazione gratuita per le vittime, segnando l’inizio della fine per REvil.

Shchukin è originario di Krasnodar, Russia, e si ritiene risieda ancora lì. Il BKA ha dichiarato: “Sulla base delle indagini finora condotte, si presume che la persona ricercata si trovi all’estero, presumibilmente in Russia”. Le prove che collegano Shchukin all’identità di UNKNOWN sono indirette, ma includono il collegamento con un altro hacker chiamato “Ger0in”, attivo tra 2010 e 2011, e il riconoscimento tramite software di riconoscimento facciale delle foto segnaletiche del BKA con immagini di una festa di compleanno del 2023 che ritraggono un uomo di nome Daniel con lo stesso orologio di lusso delle foto ufficiali.