Die deutschen Behörden haben Daniil Maksimovich Shchukin, einen 31-jährigen russischen Staatsbürger, als Schlüsselfigur hinter der Ransomware-Bande REvil und ihrem Vorgänger GandCrab identifiziert.
Die Identifizierung stellt einen bedeutenden Fortschritt in der Untersuchung von REvil dar, das für seine aggressiven und finanziell erfolgreichen Operationen bekannt ist. Shchukins Beteiligung an mindestens 130 Cyberangriffen in Deutschland zwischen 2019 und 2021 unterstreicht die Bedrohung, die von organisierten Ransomware-Gruppen ausgeht.
Zusammen mit einem weiteren Verdächtigen, Anatoli Sergejewitsch Krawtschuk, erpressten Shchukin durch koordinierte Angriffe fast zwei Millionen Euro und verursachten einen wirtschaftlichen Schaden von über 35 Millionen Euro. Die Behörden nennen Schtschukin als Hauptakteur bei der Entwicklung von Ransomware-Taktiken, insbesondere beim Modell der „doppelten Erpressung“, das eine Zahlung für die Entschlüsselung verlangt und mit der Veröffentlichung von Daten droht.
Die GandCrab-Ransomware-Bande entstand erstmals im Jahr 2018 und nutzte ein Affiliate-Modell, um die Gewinnbeteiligung von Hackern zu erhöhen, die in Unternehmenssysteme eindringen. Bis Mai 2019 behauptete GandCrab, vor seiner Schließung über 2 Milliarden US-Dollar verdient zu haben. Anschließend tauchte die REvil-Bande auf, die als Fortsetzung der GandCrab-Operationen angesehen wurde, wobei Shchukin den Pseudonym „UNKNOWN“ verwendete.
REvil war dafür bekannt, große Unternehmen mit beträchtlichen Umsätzen und Cyber-Versicherungen ins Visier zu nehmen und sich auf die sogenannte „Großwildjagd“ einzulassen. Dieses Modell ermöglichte es REvil, eher wie ein Unternehmen zu agieren, kritische Aufgaben auszulagern und Gewinne zu reinvestieren, um seine Malware-Fähigkeiten zu verbessern.
Der mit REvil verbundene Angriff auf Kaseya im Jahr 2021 brachte über 1.500 Unternehmen weltweit zum Erliegen. Obwohl es sich um einen weitreichenden Verstoß handelte, führte er auch zum Niedergang der Aktivitäten von REvil, als das FBI auf die Infrastruktur der Gruppe zugriff und anschließend einen kostenlosen Entschlüsselungsschlüssel herausgab.
Shchukin wurde bereits in einer Akte des US-Justizministeriums aus dem Jahr 2023 erwähnt, in der es um die Beschlagnahmung von Kryptowährungen im Zusammenhang mit REvil ging, darunter digitale Geldbörsen mit über 317.000 US-Dollar an illegalen Geldern. Trotz dieser Identifizierung gaben die Behörden an, dass Schtschukin wahrscheinlich in Russland bleibe, was sofortige Strafverfolgungsmaßnahmen schwierig mache.
Diese Entwicklung spiegelt einen seltenen Erfolg bei der Zuordnung von Ransomware-Operationen wider und unterstreicht den anhaltenden Einfluss der von GandCrab entwickelten und von REvil genutzten Strukturorganisation. Die Strafverfolgungsbehörden stellen fest, dass trotz der Identifizierung von Betreibern die operativen Rahmenbedingungen bestehen bleiben, was die Industrialisierung und Entwicklung der Ransomware-Landschaft unterstreicht.
