كشفت سلطات إنفاذ القانون الألمانية النقاب عن هوية شخصية محورية في نظام برامج الفدية العالمي، محولةً لقبًا إلكترونيًا سيئ السمعة إلى هوية حقيقية. فقد حدد المكتب الاتحادي للشرطة الجنائية (بونديسكريمينالامت أو BKA) المواطن الروسي دانييل ماكسيموفيتش شوكين البالغ من العمر 31 عامًا باعتباره الشخص الذي يقف خلف الاسم المستعار "UNKN" (المعروف أيضًا باسم "UNKNOWN"). وفقًا لنشرة المكتب، عمل شوكين كرئيس لعصابتي برامج الفدية GandCrab وREvil، وهما من أكثر تجمعات الجرائم الإلكترونية إنتاجًا وتدميرًا في السنوات الأخيرة. وتزعم الوكالة أنه بين عامي 2019 و2021، كان شوكين متورطًا في 130 عملًا على الأقل من أعمال التخريب الإلكتروني والابتزاز استهدفت كيانات ألمانية، تسببت في اضطراب واسع النطاق وأضرار مالية جسيمة.
كما أشارت نشرة المكتب الاتحادي للشرطة الجنائية إلى شخص ثانٍ، هو أناتولي سيرجيفيتش كرافتشوك البالغ من العمر 43 عامًا، باعتباره شريكًا. ويُتهم الاثنان معًا بتنظيم حوالي عقدين من الهجمات الإلكترونية عالية التأثير جنَت ما يقرب من 2 مليون يورو من مدفوعات الفدية. ويُقدَّر إجمالي الضرر الاقتصادي من هذه الحوادث، بما في ذلك تكاليف التعافي وتوقف العمليات وفقدان البيانات، بأكثر من 35 مليون يورو. كانت عصابتا GandCrab وREvil رائدتين في تكتيك "الابتزاز المزدوج"، الذي أصبح الآن معيارًا في صناعة برامج الفدية. تتضمن هذه الطريقة ليس فقط تشفير ملفات الضحية والمطالبة بدفع مقابل مفتاح فك التشفير، ولكن أيضًا سرقة البيانات الحساسة والتهديد بنشرها ما لم يُدفع مبلغ منفصل، مما يزيد الضغط على المنظمات للدفع بشكل كبير.
يأتي تحديد هوية شوكين من قبل السلطات الألمانية في أعقاب إجراءات سابقة للولايات المتحدة. حيث ظهر اسمه في وثيقة قدمتها وزارة العدل الأمريكية في فبراير 2023 تسعى للحصول على أوامر مصادرة لحسابات عملات مشفرة مرتبطة بأنشطة عصابة REvil. وزعمت تلك الوثيقة أن محفظة رقمية يتحكم بها شوكين تحتوي على أكثر من 317,000 دولار من العائدات غير المشروعة. ظهرت عملية GandCrab لبرامج الفدية كخدمة (RaaS) لأول مرة في أوائل عام 2018، وتميزت بتقديم حصة كبيرة بشكل غير معتاد من الأرباح للمتخصصين الإلكترونيين التابعين لها – يُقال إنها تصل إلى 80% – مقابل اختراق شبكات الشركات بنجاح. وقد غذى نموذج الشراكة العدواني هذا النمو السريع والنشر الواسع للبرنامج.
يكشف التاريخ التشغيلي لهذه المجموعات عن نمط من التكيف المستمر. حيث أصدر مطورو GandCrab خمس نسخ رئيسية من برنامج الفدية الخاص بهم، كل منها تضمن تطورات لتجاوز برامج الأمان وتحسين التشفير. بعد التقاعد المزعوم لـ GandCrab في منتصف عام 2019، انتقل العديد من أعضائها الأساسيين وبُنيتها التحتية المزعومة إلى عملية REvil (المعروفة أيضًا باسم Sodinokibi)، التي واصلت الحملات الإجرامية ورفعت من حدتها. يمثل الكشف العلني عن هوية شوكين وكرافتشوك خطوة مهمة في الجهود الدولية لتجزيء شبكات برامج الفدية، من خلال الانتقال من مجرد اتهامات لأسماء مستعارة مجهولة إلى نسب الهجمات لأفراد محددين، مما يزيد الضغط التحقيقي والدبلوماسي على دولهم الأصلية.
