Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
Svolta Anti-Ransomware in Germania: identificato il capo di REvil e GandCrab, danni oltre 35 milioni di euro
Le autorità tedesche hanno reso pubblica una svolta importante nella lotta al ransomware, identificando UNKN (noto anche come UNKNOWN), ritenuto il capo di due tra i gruppi criminali più influenti della scena russa: GandCrab e REvil.
Secondo la polizia criminale federale tedesca BKA, il responsabile sarebbe il cittadino russo Daniil Maksimovich Shchukin, 31 anni, accusato di aver guidato operazioni di sabotaggio informatico ed estorsione contro numerose vittime in Germania tra il 2019 e il 2021.
Le indagini citano almeno 130 episodi e descrivono un impatto economico enorme, con danni complessivi superiori a 35 milioni di euro e riscatti estorti per circa 2 milioni di euro nell’ambito di circa due dozzine di attacchi. Insieme a Shchukin viene indicato anche Anatoly Sergeevitsch Kravchuk come figura coinvolta nelle attività del gruppo.
Perché il caso è rilevante
Il caso è rilevante perché GandCrab e REvil hanno contribuito a definire il modello moderno di ransomware-as-a-service basato su programmi di affiliazione. In questo schema, gli operatori del malware forniscono strumenti e infrastrutture, mentre gli affiliati ottengono accesso alle reti delle aziende e distribuiscono il ransomware in cambio di una percentuale sui profitti.
L’evoluzione da GandCrab a REvil
GandCrab emerse nel 2018 e si evolse rapidamente con nuove versioni pensate per eludere i controlli di sicurezza e aumentare l’efficacia dell’infezione. Nel 2019 il gruppo annunciò la chiusura dopo aver accumulato profitti enormi, ma la fine fu seguita dalla comparsa di REvil, considerata da molti analisti una riorganizzazione dello stesso ecosistema criminale.
La doppia estorsione
REvil ha poi perfezionato la doppia estorsione, una tecnica di ransomware che combina la cifratura dei sistemi con il furto di dati sensibili. Le vittime vengono ricattate due volte: prima per ottenere la chiave di decrittazione e poi per evitare la pubblicazione dei dati sottratti. Questo approccio ha reso il ransomware ancora più pericoloso, soprattutto contro aziende con fatturati elevati e polizze di cyber insurance.
Un riferimento investigativo emerso anche in atti statunitensi del 2023 collega Shchukin a wallet di criptovalute con fondi ritenuti proventi illeciti per oltre 317 mila dollari.
Origini e collegamenti su forum criminali
Le autorità tedesche indicano che Shchukin sarebbe originario di Krasnodar e presumibilmente residente in Russia, con possibilità di spostamenti. Nel frattempo, analisi di forum criminali russi collegano il nome a identità precedenti come Ger0in, associata a botnet e vendita di installs, un servizio usato per distribuire malware su larga scala.