В значительном прорыве для международных расследований киберпреступности Федеральная полиция Германии (Bundeskriminalamt или BKA) публично идентифицировала двух граждан России как организаторов печально известных операций с программами-вымогателями GandCrab и REvil. Личности, 31-летний Даниил Максимович Щукин и 43-летний Анатолий Сергеевич Кравчук, по данным следствия, руководили этими преступными синдикатами по крайней мере с начала 2019 года до июля 2021 года включительно. Эта идентификация знаменует собой критически важный шаг в атрибуции громких кибератак конкретным лицам, выходя за рамки хакерских псевдонимов к реальным личностям. Щукин, годами действовавший под псевдонимами «UNKN» или «UNKNOWN», был заметной фигурой на киберпреступных форумах, часто выступая в качестве публичного представителя партнёрской программы операции с вымогателем.
Операционное и финансовое воздействие их деятельности на территории Германии было серьёзным. Согласно данным BKA, дуэт участвовал как минимум в 130 случаях вымогательства, нацеленных на немецкие компании. В результате этих атак не менее 25 жертв поддались давлению, заплатив в общей сложности около 2,2 миллиона долларов США в качестве выкупа. Однако общий финансовый ущерб, нанесённый с учётом простоев, затрат на восстановление и потери данных, оценивается в ошеломляющую сумму, превышающую 40 миллионов долларов. Этот случай подчёркивает разрушительные экономические потери, которые программы-вымогатели могут наносить национальным экономикам, и демонстрирует целенаправленные усилия Германии по борьбе с кибервымогательством, нацеленным на её критически важный бизнес-сектор.
Экосистема программ-вымогателей, в которой действовали эти лица, имеет чёткую эволюционную линию. Вымогатель GandCrab впервые появился в начале 2018 года, став пионером высокоуспешной партнёрской модели «Ransomware-as-a-Service» (RaaS). К удивлению многих, его первоначальный лидер объявил о выходе на «пенсию» в июне 2019 года, заявив, что заработал 2 миллиарда долларов на выплатах выкупа, хотя позже уточнил, что личная прибыль составила около 150 миллионов долларов, которые, якобы, были инвестированы в легальный бизнес. Это «завершение карьеры» создало вакуум и возможность, что напрямую привело к появлению REvil (также известного как Sodinokibi). REvil перенял и масштабировал ту же партнёрскую модель, став одной из самых prolific и разрушительных ransomware-групп до её предполагаемого разгрома в конце 2021 года.
Данные правоохранительные действия немецких властей являются частью более широких скоординированных международных усилий по демонтажу сетей программ-вымогателей. Хотя идентификация — это крупный успех, проблемы с уголовным преследованием остаются серьёзными, учитывая местонахождение подозреваемых в России. Тем не менее, такая публичная атрибуция выполняет crucial функции: она дезорганизует преступную деятельность, разоблачая ключевых фигур, помогает в замораживании финансовых активов и служит сдерживающим фактором, демонстрируя, что анонимность в киберпространстве становится всё более хрупкой. Это заявление также служит суровым напоминанием организациям по всему миру о постоянной и высокоорганизованной угрозе со стороны картелей программ-вымогателей, подчёркивая непрерывную необходимость в надёжной киберзащите, автономных резервных копиях и всеобъемлющем планировании реагирования на инциденты.
