Autoridades alemãs desmascararam o indivíduo que acreditam ser "**UNKN**", o líder dos notórios grupos de ransomware **GandCrab** e **REvil**. A **Polícia Federal Criminal Alemã** (Bundeskriminalamt ou BKA) identificou o cidadão russo **Daniil Maksimovich Shchukin**, de 31 anos, como o suposto mentor por trás dessas operações. ### Alegações e Impacto A **BKA** alega que **Shchukin**, juntamente com **Anatoly Sergeevitsch Kravchuk**, de 43 anos, extorquiu quase 2 milhões de euros através de duas dúzias de ciberataques, causando mais de 35 milhões de euros em danos econômicos.  **GandCrab** e **REvil** são conhecidos por serem pioneiros na tática de dupla extorsão, exigindo pagamento por chaves de descriptografia e uma taxa separada para evitar a publicação de dados roubados. O nome de **Shchukin** também surgiu em um documento de fevereiro de 2023 do **Departamento de Justiça dos EUA**, buscando o confisco de contas de criptomoedas ligadas às atividades do **REvil**. O documento afirmava que uma carteira digital conectada a **Shchukin** continha mais de US$ 317.000 em criptomoedas ilícitas. ### Ascensão e Queda do GandCrab O programa de afiliados de ransomware **GandCrab** surgiu em janeiro de 2018, oferecendo lucros substanciais a hackers por comprometerem contas de usuários em grandes corporações. O grupo expandiu o acesso, muitas vezes exfiltrando dados sensíveis. Cinco revisões importantes do código **GandCrab** foram lançadas, cada uma incorporando novos recursos e correções de bugs projetados para evadir a detecção por empresas de segurança. Em maio de 2019, a equipe do **GandCrab** anunciou seu encerramento, alegando ter extorquido mais de US$ 2 bilhões de vítimas. ### O Surgimento do REvil O programa de afiliados de ransomware **REvil** apareceu aproximadamente na mesma época do fim do **GandCrab**. Liderado por um usuário chamado **UNKNOWN**, que depositou US$ 1 milhão em custódia em um fórum de cibercrime russo. Muitos especialistas em segurança cibernética acreditavam que o **REvil** era uma reorganização do **GandCrab**. **UNKNOWN** deu uma entrevista a **Dmitry Smilyanets**, da **Recorded Future**, detalhando uma história de "saiu do nada para o sucesso" sem restrições éticas. ### Evolução das Táticas de Ransomware Conforme detalhado em "The Ransomware Hunting Team" por **Renee Dudley** e **Daniel Golden**, **UNKNOWN** e **REvil** reinvestiram ganhos significativos para melhorar suas operações, espelhando práticas de negócios legítimas. Eles terceirizaram tarefas como logística e design de sites, focando em aprimorar a qualidade de seu ransomware. Isso levou a pagamentos maiores, que foram reinvestidos na contratação de especialistas e na aceleração de seu sucesso. ### O Ataque à Kaseya e a Queda do REvil O **REvil** evoluiu para uma operação de "caça a grandes presas" (big-game-hunting), visando organizações com altas receitas e apólices de seguro cibernético. O grupo ganhou notoriedade por invadir a **Kaseya** durante o fim de semana de 4 de julho de 2021, impactando mais de 1.500 empresas, organizações sem fins lucrativos e agências governamentais. O **FBI** havia infiltrado os servidores do **REvil** antes do ataque à **Kaseya**, mas não pôde revelar sua mão naquele momento. A compromisso central e a liberação de uma chave de descriptografia gratuita pelo **FBI** levaram, em última análise, à queda do **REvil**. ### Onde Shchukin Está e Possível Conexão com "Ger0in" De acordo com a **BKA**, **Shchukin** é de Krasnodar, Rússia, e acredita-se que resida lá. "Com base nas investigações até agora, presume-se que a pessoa procurada esteja no exterior, presumivelmente na Rússia", afirmou a **BKA**. Embora as conexões diretas entre **Shchukin** e **UNKNOWN** sejam escassas, a análise da **Intel 471** em fóruns de crime russo sugere um vínculo entre **Shchukin** e uma identidade de hacker chamada "**Ger0in**". **Ger0in** operou grandes botnets e vendeu "instalações" entre 2010 e 2011, permitindo que cibercriminosos implantassem malware em milhares de PCs.  Uma revisão dos retratos falados divulgados pela **BKA** encontrou uma correspondência em uma celebração de aniversário de 2023, apresentando um homem chamado Daniel usando o mesmo relógio das fotos da **BKA**.