Deutsche Behörden haben die Person entlarvt, die sie für "**UNKN**" halten, den Anführer der berüchtigten **GandCrab**- und **REvil**-Ransomware-Gruppen. Das **Bundeskriminalamt (BKA)** hat den 31-jährigen russischen Staatsbürger **Daniil Maksimovich Shchukin** als mutmaßlichen Drahtzieher hinter diesen Operationen identifiziert. ### Vorwürfe und Auswirkungen Das **BKA** wirft **Shchukin** vor, zusammen mit dem 43-jährigen **Anatoly Sergeevitsch Kravchuk**, durch zwei Dutzend Cyberangriffe fast 2 Millionen Euro erpresst zu haben, was zu wirtschaftlichen Schäden von über 35 Millionen Euro führte.  **GandCrab** und **REvil** sind bekannt für die Einführung der doppelten Erpressungstaktik, bei der sie nicht nur Lösegeld für Entschlüsselungsschlüssel verlangen, sondern auch eine separate Gebühr, um die Veröffentlichung gestohlener Daten zu verhindern. **Shchukin**s Name tauchte auch in einer Einreichung des **US-Justizministeriums** vom Februar 2023 auf, in der die Beschlagnahmung von Kryptowährungskonten im Zusammenhang mit den Aktivitäten von **REvil** gefordert wurde. In der Einreichung hieß es, dass eine mit **Shchukin** verbundene digitale Geldbörse über 317.000 US-Dollar in illegaler Kryptowährung enthielt. ### Aufstieg und Fall von GandCrab Das **GandCrab**-Ransomware-Affiliate-Programm erschien im Januar 2018 und bot Hackern erhebliche Gewinne für die Kompromittierung von Benutzerkonten in großen Unternehmen. Die Gruppe erweiterte ihren Zugang und exfiltrierte oft sensible Daten. Fünf Hauptrevisionen des **GandCrab**-Codes wurden veröffentlicht, die jeweils neue Funktionen und Fehlerbehebungen enthielten, um die Erkennung durch Sicherheitsfirmen zu umgehen. Im Mai 2019 kündigte das **GandCrab**-Team seine Schließung an und behauptete, über 2 Milliarden US-Dollar von Opfern erpresst zu haben. ### Das Erscheinen von REvil Das **REvil**-Ransomware-Affiliate-Programm erschien etwa zur gleichen Zeit wie der Niedergang von **GandCrab**. Es wurde von einem Benutzer namens **UNKNOWN** angeführt, der 1 Million US-Dollar auf einem russischen Cybercrime-Forum hinterlegte. Viele Cybersicherheitsexperten glaubten, dass **REvil** eine Reorganisation von **GandCrab** war. **UNKNOWN** gab ein Interview mit **Dmitry Smilyanets** von **Recorded Future**, in dem er eine Aufstieg-aus-dem-Nichts-Geschichte ohne ethische Einschränkungen erzählte. ### Entwicklung von Ransomware-Taktiken Wie in "The Ransomware Hunting Team" von **Renee Dudley** und **Daniel Golden** detailliert beschrieben, reinvestierten **UNKNOWN** und **REvil** erhebliche Einnahmen zur Verbesserung ihrer Operationen, was legitimen Geschäftspraktiken ähnelte. Sie lagerten Aufgaben wie Logistik und Webdesign aus und konzentrierten sich auf die Verbesserung der Qualität ihrer Ransomware. Dies führte zu höheren Auszahlungen, die in die Einstellung von Spezialisten und die Beschleunigung ihres Erfolgs reinvestiert wurden. ### Der Kaseya-Angriff und der Untergang von REvil **REvil** entwickelte sich zu einer "Big-Game-Hunting"-Operation, die sich auf Organisationen mit hohen Umsätzen und Cyberversicherungen konzentrierte. Die Gruppe erlangte Bekanntheit für den Hack von **Kaseya** über das Wochenende des 4. Juli 2021, der über 1.500 Unternehmen, gemeinnützige Organisationen und Regierungsbehörden betraf. Das **FBI** hatte die Server von **REvil** bereits vor dem **Kaseya**-Angriff infiltriert, konnte sich aber zu diesem Zeitpunkt nicht offenbaren. Die Kernkompromittierung und die Veröffentlichung eines kostenlosen Entschlüsselungsschlüssels durch das **FBI** führten letztendlich zum Untergang von **REvil**. ### Shchukin's Aufenthaltsort und mögliche Verbindung zu "Ger0in" Laut **BKA** stammt **Shchukin** aus Krasnodar, Russland, und soll dort wohnen. "Nach den bisherigen Ermittlungen wird davon ausgegangen, dass sich die gesuchte Person im Ausland, mutmaßlich in Russland, aufhält", teilte das **BKA** mit. Obwohl direkte Verbindungen zwischen **Shchukin** und **UNKNOWN** spärlich sind, deuten Analysen von **Intel 471** über russische Crime-Foren auf eine Verbindung zwischen **Shchukin** und einer Hacker-Identität namens "**Ger0in**" hin. **Ger0in** betrieb zwischen 2010 und 2011 große Botnetze und verkaufte "Installs", die es Cyberkriminellen ermöglichten, Malware auf Tausenden von PCs zu deployen.  Eine Überprüfung der vom **BKA** veröffentlichten Fahndungsfotos ergab eine Übereinstimmung mit einer Geburtstagsfeier aus dem Jahr 2023, auf der ein Mann namens Daniel dieselbe Uhr trug wie auf den **BKA**-Fotos.