A Polícia Federal da Alemanha, o BKA, identificou dois cidadãos russos como líderes das operações de ransomware GandCrab e REvil entre 2019 e 2021.
Segundo a divulgação do BKA, Daniil Maksimovich Shchukin, de 31 anos, e Anatoly Sergeevitsch Kravchuk, de 43 anos, atuaram como líderes dos dois grupos de ransomware desde, no mínimo, o início de 2019 até, pelo menos, julho de 2021.
Shchukin se escondia há anos sob os pseudônimos UNKN e UNKNOWN, publicando em fóruns de cybercrime e se apresentando como representante da operação de ransomware.
As autoridades alemãs afirmam que Shchukin e Kravchuk participaram de ao menos 130 casos de extorsão contra empresas no país.
Após esses ataques, pelo menos 25 vítimas pagaram US$ 2,2 milhões em ransom aos dois e a seus comparsas, enquanto o prejuízo financeiro total causado pelo grupo é estimado em mais de US$ 40 milhões.
O GandCrab surgiu no início de 2018 e seu líder, na época, anunciou a aposentadoria em junho de 2019, depois de afirmar ter obtido US$ 2 bilhões com pagamentos de resgate.
Na prática, no entanto, o líder teria sacado US$ 150 milhões, que disse ter investido em negócios legítimos.
Pouco depois, surgiu uma nova operação chamada REvil, seguindo o modelo de affiliate adotado pelo GandCrab, com publicidade e parcerias com outros cibercriminosos.
Também conhecido como Sodinokibi, o REvil foi formado por antigos afiliados e operadores do GandCrab, que já dominavam as táticas responsáveis pelo sucesso do grupo e passaram a aplicá-las em suas próprias ações.
Mais tarde, o REvil incorporou sites públicos de vazamento e promoveu leilões de dados para pressionar as vítimas.
Entre os alvos mais conhecidos estão diversos governos locais do Texas, a fabricante Acer e o ataque à cadeia de suprimentos da Kaseya, que afetou cerca de 1.500 vítimas indiretas.
Após o ataque em larga escala à Kaseya, o REvil fez uma pausa de dois meses.
Nesse período, autoridades conseguiram invadir seus servidores e passaram a monitorar as operações do grupo.
Na época, foram registradas várias interrupções de infraestrutura e, em meados de janeiro de 2022, a Rússia prendeu mais de uma dúzia de integrantes da quadrilha REvil, que foram soltos em 2025 após cumprirem pena por acusações relacionadas a carding.
Ainda não está claro se Shchukin ou Kravchuk se envolveram em outras operações de ransomware depois da queda do REvil, em 2021.
O BKA acredita que ambos estão na Rússia e pede que a população compartilhe qualquer informação que possa levar ao paradeiro dos dois.
Registros também foram publicados no portal Europe’s Most Wanted.
A polícia divulgou várias imagens, incluindo fotos de tatuagens, para ajudar na localização dos dois threat actors e levá-los à Justiça.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...