Les autorités allemandes ont démasqué l'individu qu'elles pensent être "**UNKN**", le chef des tristement célèbres groupes de ransomware **GandCrab** et **REvil**. La **Police Criminelle Fédérale Allemande** (Bundeskriminalamt ou BKA) a identifié **Daniil Maksimovich Shchukin**, un ressortissant russe de 31 ans, comme le cerveau présumé de ces opérations. ### Allégations et Impact La **BKA** allègue que **Shchukin**, aux côtés d'**Anatoly Sergeevitsch Kravchuk**, 43 ans, a extorqué près de 2 millions d'euros par le biais de deux douzaines de cyberattaques, causant plus de 35 millions d'euros de dommages économiques.  **GandCrab** et **REvil** sont connus pour avoir été les pionniers de la tactique de la double extorsion, exigeant un paiement pour les clés de déchiffrement et une somme séparée pour empêcher la publication des données volées. Le nom de **Shchukin** est également apparu dans un document déposé en février 2023 par le **département de la Justice des États-Unis**, demandant la saisie de comptes de cryptomonnaies liés aux activités de **REvil**. Le document indiquait qu'un portefeuille numérique connecté à **Shchukin** détenait plus de 317 000 $ en cryptomonnaies illicites. ### L'ascension et la chute de GandCrab Le programme d'affiliation de ransomware **GandCrab** a émergé en janvier 2018, offrant des profits substantiels aux hackers pour le compromis de comptes d'utilisateurs dans de grandes entreprises. Le groupe a élargi son accès, exfiltrant souvent des données sensibles. Cinq révisions majeures du code de **GandCrab** ont été publiées, chacune intégrant de nouvelles fonctionnalités et des corrections de bugs conçues pour échapper à la détection par les entreprises de sécurité. En mai 2019, l'équipe **GandCrab** a annoncé sa fermeture, affirmant avoir extorqué plus de 2 milliards de dollars à ses victimes. ### L'émergence de REvil Le programme d'affiliation de ransomware **REvil** est apparu à peu près au même moment que la disparition de **GandCrab**. Dirigé par un utilisateur nommé **UNKNOWN**, qui a déposé 1 million de dollars sous séquestre sur un forum de cybercriminalité russe. De nombreux experts en cybersécurité pensaient que **REvil** était une réorganisation de **GandCrab**. **UNKNOWN** a accordé une interview à **Dmitry Smilyanets** de **Recorded Future**, détaillant une histoire de réussite sans contraintes éthiques. ### Évolution des tactiques de ransomware Comme détaillé dans "The Ransomware Hunting Team" par **Renee Dudley** et **Daniel Golden**, **UNKNOWN** et **REvil** ont réinvesti des gains importants pour améliorer leurs opérations, imitant les pratiques commerciales légitimes. Ils ont externalisé des tâches telles que la logistique et la conception de sites Web, se concentrant sur l'amélioration de la qualité de leur ransomware. Cela a conduit à des paiements plus importants, qui ont été réinvestis dans l'embauche de spécialistes et l'accélération de leur succès. ### L'attaque Kaseya et la chute de REvil **REvil** s'est transformé en une opération de "chasse aux gros gibiers", ciblant les organisations à revenus élevés et disposant de polices d'assurance cybernétique. Le groupe s'est fait connaître pour avoir piraté **Kaseya** pendant le week-end du 4 juillet 2021, impactant plus de 1 500 entreprises, organisations à but non lucratif et agences gouvernementales. Le **FBI** avait infiltré les serveurs de **REvil** avant l'attaque de **Kaseya**, mais ne pouvait pas révéler sa main à ce moment-là. La compromission principale et la publication par le **FBI** d'une clé de déchiffrement gratuite ont finalement conduit à la chute de **REvil**. ### La localisation de Shchukin et possible connexion à "Ger0in" Selon la **BKA**, **Shchukin** est originaire de Krasnodar, en Russie, et on pense qu'il y réside. "Sur la base des enquêtes menées jusqu'à présent, on suppose que la personne recherchée se trouve à l'étranger, probablement en Russie", a déclaré la **BKA**. Bien que les liens directs entre **Shchukin** et **UNKNOWN** soient rares, l'analyse par **Intel 471** des forums de cybercriminalité russes suggère un lien entre **Shchukin** et une identité de hacker appelée "**Ger0in**". **Ger0in** a exploité de grands botnets et vendu des "installs" entre 2010 et 2011, permettant aux cybercriminels de déployer des malwares sur des milliers d'ordinateurs.  Un examen des photos d'identité publiées par la **BKA** a révélé une correspondance avec une célébration d'anniversaire de 2023, mettant en scène un homme nommé Daniel portant la même montre que sur les photos de la **BKA**.