De Duitse autoriteiten hebben Daniil Maksimovich Shchukin, een 31-jarige Rus, geïdentificeerd als een sleutelfiguur achter de REvil-ransomwarebende en zijn voorganger, GandCrab.
De identificatie markeert een belangrijke ontwikkeling in het onderzoek naar REvil, bekend om zijn agressieve en financieel succesvolle operaties. De betrokkenheid van Shchukin bij minstens 130 cyberaanvallen in Duitsland tussen 2019 en 2021 onderstreept de dreiging die uitgaat van georganiseerde ransomwaregroepen.
Samen met een andere verdachte, Anatoly Sergeevitsch Kravchuk, hebben de gecoördineerde aanvallen van Sjtsjoekin bijna € 2 miljoen afgeperst, terwijl ze meer dan € 35 miljoen aan economische schade veroorzaakten. Autoriteiten noemen Shchukin een belangrijke speler in de evolutie van ransomware-tactieken, met name het ‘dubbele afpersingsmodel’ dat betaling eist voor decodering en de publicatie van gegevens bedreigt.
De GandCrab-ransomwarebende ontstond voor het eerst in 2018 en maakte gebruik van een aangesloten model om de winstdeling onder hackers die bedrijfssystemen binnendringen te vergroten. In mei 2019 beweerde GandCrab vóór de sluiting meer dan $ 2 miljard te hebben verdiend. Vervolgens verscheen de REvil-bende, gezien als een voortzetting van de GandCrab-operaties, waarbij Shchukin de alias “UNKNOWN” gebruikte.
REvil stond erom bekend dat het zich richtte op grote organisaties met aanzienlijke inkomsten en cyberverzekeringen, en zich bezighield met wat ‘jacht op groot wild’ wordt genoemd. Dankzij dit model kon REvil meer als een bedrijf opereren, door kritieke taken uit te besteden en winsten te herinvesteren om de malwaremogelijkheden te verbeteren.
De aanval op Kaseya in 2021, gekoppeld aan REvil, ontwrichtte wereldwijd meer dan 1.500 bedrijven. Hoewel het om een uitgebreide inbreuk ging, leidde het ook tot de teruggang van de activiteiten van REvil toen de FBI toegang kreeg tot de infrastructuur van de groep en vervolgens een gratis decoderingssleutel vrijgaf.
Shchukin is eerder genoemd in een dossier uit 2023 van het Amerikaanse ministerie van Justitie over inbeslagnames van cryptocurrency in verband met REvil, waaronder digitale portemonnees met meer dan $317.000 aan illegale fondsen. Ondanks deze identificatie verklaarden de autoriteiten dat Shchukin waarschijnlijk in Rusland blijft, wat onmiddellijke wetshandhavingsacties lastig maakt.
Deze ontwikkeling weerspiegelt een zeldzaam succes bij het toeschrijven van ransomware-activiteiten, wat de voortdurende invloed benadrukt van de structurele organisatie die door GandCrab is ontwikkeld en door REvil wordt gebruikt. Wetshandhaving merkt op dat ondanks de identificatie van exploitanten het operationele raamwerk voortduurt, wat de industrialisatie en evolutie van het ransomware-landschap onderstreept.
