Немецкие правоохранительные органы публично идентифицировали ключевую фигуру в глобальной экосистеме программ-вымогателей, перенеся печально известный онлайн-псевдоним в реальный мир. Федеральное ведомство уголовной полиции Германии (Bundeskriminalamt или BKA) назвало 31-летнего гражданина России Даниила Максимовича Щукина лицом, стоящим за псевдонимом «UNKN» (также известным как «UNKNOWN»). Согласно сообщению BKA, Щукин действовал в качестве главы групп программ-вымогателей GandCrab и REvil, двух самых продуктивных и разрушительных киберпреступных синдикатов последних лет. Ведомство утверждает, что в период с 2019 по 2021 год Щукин был причастен как минимум к 130 актам компьютерного саботажа и вымогательства, направленным против немецких организаций, что причинило широкомасштабный ущерб и финансовые потери.
В сообщении BKA также назван второй человек, 43-летний Анатолий Сергеевич Кравчук, в качестве соучастника. Вместе их обвиняют в организации примерно двух десятков высокоэффективных кибератак, которые принесли почти 2 миллиона евро выкупных платежей. Общий экономический ущерб от этих инцидентов, включая затраты на восстановление, простой в работе и потерю данных, оценивается более чем в 35 миллионов евро. Группы GandCrab и REvil были пионерами тактики «двойного вымогательства», которая теперь стала отраслевым стандартом в сфере ransomware. Этот метод предполагает не только шифрование файлов жертвы и требование оплаты за ключ дешифрования, но и кражу конфиденциальных данных с угрозой их публикации, если не будет произведен отдельный платеж, что значительно увеличивает давление на организации.
Идентификация Щукина немецкими властями последовала за предыдущими действиями Соединенных Штатов. Его имя фигурировало в документах Министерства юстиции США от февраля 2023 года, в которых требовалась конфискация криптовалютных счетов, связанных с деятельностью группы REvil. В этих документах утверждалось, что цифровой кошелек, контролируемый Щукиным, содержал более 317 000 долларов незаконных доходов. Операция GandCrab по модели ransomware-as-a-service (RaaS) впервые появилась в начале 2018 года, отличаясь тем, что предлагала хакерам-партнерам необычно большую долю прибыли — по сообщениям, до 80% — за успешное проникновение в корпоративные сети. Эта агрессивная партнерская модель способствовала ее быстрому росту и широкому распространению.
Операционная история этих групп показывает модель постоянной адаптации. Разработчики GandCrab выпустили пять основных версий своего вредоносного ПО, каждая из которых включала эволюционные изменения для обхода программ безопасности и улучшения шифрования. После предполагаемого прекращения деятельности GandCrab в середине 2019 года многие из ее ключевых участников и инфраструктуры, как сообщается, перешли к операции REvil (также известной как Sodinokibi), которая продолжила и усилила их преступную деятельность. Публичное раскрытие имен Щукина и Кравчука представляет собой значительный шаг в международных усилиях по демонтажу сетей программ-вымогателей, поскольку позволяет перейти от обвинений безымянных псевдонимов к атрибуции атак конкретным лицам, тем самым увеличивая расследовательское и дипломатическое давление на страны их происхождения.
