Las autoridades alemanas han identificado a Daniil Maksimovich Shchukin, un ciudadano ruso de 31 años, como una figura clave detrás de la banda de ransomware REvil y su predecesor, GandCrab.
La identificación marca un avance significativo en la investigación de REvil, conocido por sus operaciones agresivas y financieramente exitosas. La participación de Shchukin en al menos 130 ciberataques en Alemania entre 2019 y 2021 subraya la amenaza que representan los grupos organizados de ransomware.
Junto con otro sospechoso, Anatoly Sergeevitsch Kravchuk, los ataques coordinados de Shchukin extorsionaron casi 2 millones de euros y causaron más de 35 millones de euros en daños económicos. Las autoridades citan a Shchukin como un actor principal en la evolución de las tácticas de ransomware, en particular el modelo de “doble extorsión” que exige un pago por el descifrado y amenaza con la publicación de datos.
La banda de ransomware GandCrab surgió por primera vez en 2018, utilizando un modelo de afiliado para aumentar la participación en las ganancias entre los piratas informáticos que violan los sistemas corporativos. En mayo de 2019, GandCrab afirmó haber ganado más de 2 mil millones de dólares antes de su cierre. Posteriormente apareció la pandilla REvil, vista como una continuación de las operaciones de GandCrab, con Shchukin utilizando el alias “DESCONOCIDO”.
REvil era conocido por apuntar a grandes organizaciones con importantes ingresos y seguros cibernéticos, participando en lo que se denomina “caza mayor”. Este modelo permitió a REvil operar más como una empresa, subcontratando tareas críticas y reinvirtiendo ganancias para mejorar sus capacidades de malware.
El ataque de 2021 a Kaseya, vinculado a REvil, interrumpió más de 1.500 empresas en todo el mundo. Aunque fue una violación extensa, también provocó el declive de las operaciones de REvil cuando el FBI accedió a la infraestructura del grupo y posteriormente publicó una clave de descifrado gratuita.
Shchukin ha sido mencionado anteriormente en una presentación del Departamento de Justicia de EE. UU. de 2023 sobre incautaciones de criptomonedas vinculadas a REvil, que incluían billeteras digitales con más de $317,000 en fondos ilícitos. A pesar de esta identificación, las autoridades afirmaron que Shchukin probablemente permanezca en Rusia, lo que dificulta las acciones policiales inmediatas.
Este desarrollo refleja un éxito poco común en la atribución de operaciones de ransomware, destacando la influencia continua de la organización estructural iniciada por GandCrab y utilizada por REvil. Las fuerzas del orden señalan que a pesar de la identificación de los operadores, el marco operativo continúa, lo que subraya la industrialización y evolución del panorama del ransomware.
