一名化名“ UNKN ”的神秘黑客,曾运营早期的俄罗斯勒索软件组织GandCrab和REvil,如今他的身份终于曝光。德国当局称,31岁的俄罗斯人丹尼尔·马克西莫维奇·舒金(Daniil Maksimovich Shchukin)领导了这两个网络犯罪团伙,并在2019年至2021年间,协助在德国各地实施了至少130起针对受害者的计算机破坏和勒索行为。
德国联邦刑事警察局(简称“Bundeskriminalamt”,简称BKA)发布的一份通告中,什丘金被列为“未知嫌疑人”(UNKN)。BKA称,什丘金和另一名俄罗斯人——43岁的阿纳托利·谢尔盖耶维奇·克拉夫丘克——通过二十多次网络攻击勒索了近200万欧元,造成的经济损失总计超过3500万欧元。
Daniil Maksimovich SHCHUKIN(又名 UNKN)和 Anatoly Sergeevitsch Karvchuk,据称是 GandCrab 和 REvil 勒索软件组织的领导人。
德国联邦刑事警察局 (BKA) 表示,舒金是全球最大的勒索软件组织之一 GandCrab 和 REvil 的头目,这两个组织开创了双重勒索的做法——先向受害者收取解锁被黑系统所需的密钥,然后再收取一笔钱,以换取不公布被盗数据的承诺。
2023年2月,美国司法部提交了一份文件(PDF),其中提到了什丘金的名字。该文件寻求查封与REvil勒索软件团伙非法所得相关的多个加密货币账户。政府称,与什丘金关联的数字钱包中存有超过31.7万美元的非法加密货币。
Gandcrab勒索软件联盟计划最早出现于2018年1月,该计划向那些入侵大型企业用户账户的黑客支付巨额利润分成。Gandcrab团队随后会试图扩大访问权限,在此过程中通常会窃取大量敏感的内部文件。该恶意软件的开发者对Gandcrab代码进行了五次重大修订,每次修订都包含一些隐蔽的新功能和漏洞修复,旨在阻挠计算机安全公司阻止该恶意软件传播的努力。
2019年5月31日,GandCrab团队宣布该组织解散,此前他们已从受害者手中勒索了超过20亿美元。“我们就是活生生的例子,证明你可以作恶却逍遥法外,”GandCrab在告别演说中曾讽刺道。“我们已经证明,一年就能赚到一生的钱。我们已经证明,你可以凭借公众的认可,而不是靠自己的虚荣心,成为第一。”
REvil勒索软件联盟计划几乎与GandCrab的覆灭同时出现,该计划由一位名为UNKNOWN的用户发起,他在俄罗斯一个网络犯罪论坛上宣布,他已向该论坛的托管账户存入100万美元,以表明他的诚意。此时,许多网络安全专家已经得出结论, REvil只不过是GandCrab的重组版本。
UNKNOWN 还采访了Recorded Future雇佣的前恶意黑客Dmitry Smilyanets ,在采访中 UNKNOWN 描述了一个不受道德约束的白手起家的故事。
“小时候,我翻垃圾堆找吃的,抽烟头,”一位匿名人士告诉Recorded Future。“我每天单程走10公里去上学。我的衣服经常穿六个月。年轻时,我住在合租公寓里,经常两三天不吃饭。现在我成了百万富翁。”
正如Renee Dudley和Daniel Golden在《勒索软件猎杀团队》一书中描述的那样,UNKNOWN和REvil将大量收益再投资于提升自身成功率,并效仿合法企业的运营模式。作者写道:
就像现实世界中的制造商会雇佣其他公司来处理物流或网站设计一样,勒索软件开发者也越来越多地将超出自身职责范围的任务外包出去,转而专注于提升勒索软件的质量。这种高质量的勒索软件——在很多情况下,连狩猎团队都无法破解——为受害者带来了更多、更高的赎金。巨额的赎金使犯罪团伙能够重新投资于他们的“事业”。他们雇佣了更多专家,他们的成功也随之加速。
犯罪分子竞相涌入蓬勃发展的勒索软件经济。地下世界的辅助服务提供商如雨后春笋般涌现,或从其他犯罪活动转型而来,以满足开发者对定制支持的需求。与 GandCrab 等犯罪团伙合作的“加密”服务提供商确保勒索软件无法被标准反恶意软件扫描程序检测到。“初始访问经纪商”专门窃取凭证并查找目标网络中的漏洞,然后将这些访问权限出售给勒索软件运营者及其关联方。比特币“混币商”向将其作为首选供应商进行赎金洗钱的犯罪团伙提供折扣。一些承包商愿意与任何犯罪团伙合作,而另一些则与特定团伙建立独家合作关系。
REvil 将演变成一台令人恐惧的“大型猎物狩猎”机器,能够从受害者那里榨取巨额勒索金,主要针对年收入超过 1 亿美元且拥有巨额新网络保险保单(众所周知,这些保单会支付赔偿金)的组织。
2021年7月4日周末,美国REvil勒索软件组织入侵并勒索了Kaseya公司。Kaseya是一家为超过1500家企业、非营利组织和政府机构提供IT运营服务的公司。联邦调查局(FBI)后来宣布,他们在Kaseya遭受攻击之前就已经渗透到该勒索软件组织的服务器中,但当时无法透露具体情况。REvil从此一蹶不振,再也没有从FBI向无力或不愿支付赎金的REvil受害者免费发布解密密钥的打击中恢复过来。
德国联邦刑事警察局表示,舒金来自俄罗斯克拉斯诺达尔,据信目前居住在那里。
德国联邦刑事警察局表示:“根据目前的调查,我们认为通缉犯身在国外,很可能在俄罗斯。不能排除他前往俄罗斯的可能性。”
几乎没有证据表明 Shchukin 与 UNKNOWN 在俄罗斯犯罪论坛上的各种账号有任何关联。但网络情报公司Intel 471对俄罗斯犯罪论坛的索引进行审查后发现,Shchukin 与一个名为“ Ger0in ”的黑客身份之间存在大量关联。Ger0in 运营着大型僵尸网络并出售“安装程序”,使其他网络犯罪分子能够一次性将他们选择的恶意软件快速部署到数千台电脑上。然而,Ger0in 的活跃时期仅为 2010 年至 2011 年,远早于 UNKNOWN 作为 REvil 的代言人出现。
在图像比对网站 Pimeyes 上对德国联邦刑事警察局 (BKA) 公布的嫌犯照片进行比对后发现, 2023 年的这场生日庆祝活动与 BKA 照片中的嫌犯照片相符,照片中一位名叫 Daniel 的年轻人戴着与 BKA 照片中相同的名表。
2023年丹尼尔·舒金在克拉斯诺达尔举办的生日派对照片。
原文: https://krebsonsecurity.com/2026/04/germany-doxes-unkn-head-of-ru-ransomware-gangs-revil-gandcrab/