Las autoridades alemanas han desenmascarado al individuo que creen que es "UNKN", el líder de los notorios grupos de ransomware GANDCRAB y REvil. La Policía Federal Criminal de Alemania (Bundeskriminalamt o BKA) ha identificado al ciudadano ruso Daniil Maksimovich Shchukin, de 31 años, como el presunto cerebro detrás de estas operaciones. ### Alegaciones e Impacto La BKA alega que Shchukin, junto con Anatoly Sergeevitsch Kravchuk, de 43 años, extorsionaron casi 2 millones de euros a través de dos docenas de ciberataques, causando más de 35 millones de euros en daños económicos.  GANDCRAB y REvil son conocidos por ser pioneros en la táctica de doble extorsión, exigiendo el pago de claves de descifrado y una tarifa separada para evitar la publicación de datos robados. El nombre de Shchukin también apareció en una presentación de febrero de 2023 del Departamento de Justicia de EE. UU., solicitando la incautación de cuentas de criptomonedas vinculadas a las actividades de REvil. La presentación indicaba que una billetera digital conectada a Shchukin contenía más de 317.000 dólares en criptomonedas ilícitas. ### Auge y Caída de GandCrab El programa de afiliados de ransomware GANDCRAB surgió en enero de 2018, ofreciendo sustanciales beneficios a los hackers por comprometer cuentas de usuarios en grandes corporaciones. El grupo amplió el acceso, a menudo exfiltrando datos sensibles. Se lanzaron cinco revisiones importantes del código de GANDCRAB, cada una incorporando nuevas funciones y correcciones de errores diseñadas para evadir la detección por parte de las empresas de seguridad. En mayo de 2019, el equipo de GANDCRAB anunció su cierre, afirmando haber extorsionado más de 2.000 millones de dólares a sus víctimas. ### Aparición de REvil El programa de afiliados de ransomware REvil apareció aproximadamente al mismo tiempo que la desaparición de GANDCRAB. Liderado por un usuario llamado UNKNOWN, quien depositó 1 millón de dólares en depósito en un foro de ciberdelincuencia ruso. Muchos expertos en ciberseguridad creían que REvil era una reorganización de GANDCRAB. UNKNOWN concedió una entrevista a Dmitry Smilyanets de Recorded Future, detallando una historia de éxito sin escrúpulos. ### Evolución de las Tácticas de Ransomware Como se detalla en "The Ransomware Hunting Team" de Renee Dudley y Daniel Golden, UNKNOWN y REvil reinvirtieron ganancias significativas para mejorar sus operaciones, imitando prácticas comerciales legítimas. Externalizaron tareas como logística y diseño web, centrándose en mejorar la calidad de su ransomware. Esto condujo a pagos mayores, que se reinvirtieron en la contratación de especialistas y la aceleración de su éxito. ### El Ataque a Kaseya y la Caída de REvil REvil evolucionó hasta convertirse en una operación de "caza mayor", apuntando a organizaciones con altos ingresos y pólizas de ciberseguro. El grupo ganó notoriedad por hackear KASEYA durante el fin de semana del 4 de julio de 2021, afectando a más de 1.500 empresas, organizaciones sin fines de lucro y agencias gubernamentales. El FBI había infiltrado los servidores de REvil antes del ataque a KASEYA, pero no pudo revelar su mano en ese momento. El compromiso principal y la liberación por parte del FBI de una clave de descifrado gratuita finalmente llevaron a la caída de REvil. ### Paradero de Shchukin y Posible Conexión con "Ger0in" Según la BKA, Shchukin es de Krasnodar, Rusia, y se cree que reside allí. "Basándonos en las investigaciones hasta la fecha, se asume que la persona buscada se encuentra en el extranjero, presumiblemente en Rusia", declaró la BKA. Si bien las conexiones directas entre Shchukin y UNKNOWN son escasas, el análisis de Intel 471 en foros rusos de delincuencia sugiere un vínculo entre Shchukin y una identidad de hacker llamada "Ger0in". Ger0in operó grandes botnets y vendió "instalaciones" entre 2010 y 2011, permitiendo a los ciberdelincuentes desplegar malware en miles de PC.  Una revisión de las fotos de fichaje publicadas por la BKA encontró una coincidencia en una celebración de cumpleaños de 2023, que presentaba a un hombre llamado Daniel con el mismo reloj que en las fotos de la BKA.