「UNKN」というハンドルネームで活動していた難捕のハッカーが、初期段階のロシア系ランサムウェアグループGandCrabとREvilを統括していました。その人物の名前と顔が明かされました。ドイツの当局によれば、31歳のロシア人ダニイル・マクシモビッチ・シチューキンは両方のサイバー犯罪ギャングを率いており、2019年から2021年の間に同国全域の被害者に対して少なくとも130件のコンピュータ破壊工作と恐喝事件に関与していたとのことです。
シチューキンはドイツ連邦刑事警察(「ブンデスクリミナルアント」または略して「BKA」)が公開した勧告でUNKN(別名UNKNOWN)として指名されました。BKAによれば、シチューキンとロシア人の43歳アナトーリー・セルゲーヴィッチ・クラフチュークは、総経済損害が3,500万ユーロを超える2ダースのサイバー攻撃を通じて、ほぼ200万ユーロの恐喝を行いました。
ダニイル・マクシモビッチ・シチューキン(UNKN別名)およびアナトーリー・セルゲーヴィッチ・クラフチューク。GandCrabおよびREvil ランサムウェアグループの指導者と考えられています。
ドイツのBKAは、シチューキンが世界最大級のランサムウェアグループの一つであるGandCrabとREvil運営の長として機能していたと述べています。これらのグループは、ハッキングされたシステムのロック解除に必要なキーの対価として一度支払わせ、盗難されたデータを公開しないという約束の対価として別の支払いを要求する二重恐喝の慣行を開拓しました。
シチューキンの名前は、REvil ランサムウェアギャングの活動から得られた収益に関連するさまざまな暗号資産口座の差し押さえを求めた、米国司法省による2023年2月の提出書類(PDF)に登場しました。政府によれば、シチューキンに関連するデジタルウォレットには、不正に得られた暗号資産で310,000ドル以上が含まれていました。
Gandcrab ランサムウェア・アフィリエイトプログラムは2018年1月に最初に浮上し、大規模な企業のユーザーアカウントにハッキングするだけで、意欲的なハッカーに利益の巨大なシェアを支払いました。Gandcrab チームはそのアクセスを拡大しようとし、その過程で膨大な量の機密および内部文書を頻繁に流出させました。マルウェアのキュレーターはGandCrabコードに5つの主要な改訂版を提供し、それぞれマルウェアの拡散を阻止するためのコンピュータセキュリティ企業の努力を妨害することを目的とした新しい機能とバグ修正に対応していました。
2019年5月31日、GandCrabチームは被害者から20億ドル以上の恐喝を行った後、グループがシャットダウンすることを発表しました。「私たちは悪事を行い、罰を受けずに逃げられることの生きた証拠です」とGandCrabの別れの言葉は有名に述べました。「私たちは1年で一生分のお金を稼ぐことができることを証明しました。自分たちの自惚れではなく、万人からの承認により、ナンバーワンになることができることを証明しました。」
REvil ランサムウェア・アフィリエイトプログラムはGandCrabの終焉とほぼ同じ時期に現れ、ロシアのサイバー犯罪フォーラムで100万ドルをフォーラムのエスクロー資金に預金したことを発表した、UNKNOWN というユーザー名の人物が率いました。この時点で、多くのサイバーセキュリティの専門家は結論に達していました。REvilはGandCrabの再編成に過ぎないと。
UNKNOWN はRecorded Futureに雇用された元悪質ハッカーであるドミトリー・スミリャネッツにインタビューを与え、そこでUNKNOWNは倫理と道徳に阻まれない成功物語を述べました。
「子どもの時、私はゴミ山をあさり、タバコの吸い殻を吸いました」とUNKNOWNはRecorded Futureに語りました。「学校まで片道10キロを歩きました。6ヶ月間同じ服を着ていました。若い時、共有アパートに住んでいた時、2日間、さらには3日間食べませんでした。今、私は百万長者です。」
ルネ・ダドリーとダニエル・ゴールデンによる『ランサムウェア・ハンティング・チーム』で述べられているように、UNKNOWNとREvil は利益の大部分を成功を改善し、正規企業の慣行を反映することに再投資しました。著者は以下のように述べています:
「実世界の製造業者がロジスティクスまたはウェブデザインを処理するために他の企業を雇用するかもしれないのと同じように、ランサムウェア開発者はますます自分たちの権限を超えたタスクをアウトソースし、代わりにランサムウェアの品質の向上に焦点を当てました。より高品質のランサムウェア(多くの場合、ハンティング・チームは破ることができませんでした)は、被害者からのより多くのそしてより高い支払いをもたらしました。莫大な支払いにより、ギャングは企業に再投資することができました。彼らはより多くの専門家を雇い、彼らの成功は加速しました。」
「犯罪者はブーミングするランサムウェア経済に参加するために競争しました。地下の補助サービスプロバイダーは、開発者のカスタマイズされたサポート要求に対応するために、他の犯罪の仕事から発生または転換しました。GandCrab のようなギャングと提携し、「暗号化」プロバイダーは標準的なマルウェア対策スキャナーで検出されないようにランサムウェアを保証しました。「初期アクセス仲介」は認証情報の盗難とターゲットネットワークの脆弱性の発見を特化し、そのアクセスをランサムウェア運営者およびアフィリエイトに販売しました。ビットコイン「タンブラー」は、身代金の支払いを洗浄するための好ましいベンダーとして使用するギャングに割引を提供しました。一部の請負業者はどのギャングとでも協力する準備ができていましたが、他の者は排他的なパートナーシップに参入しました。」
REvil は、年間1億ドル以上の収益を有する組織とそれが既知の支払い金を持つ新しいサイバー保険政策を標的にしている、大きな恐喝支払いを抽出できる、恐ろしい「ビッグゲームハンティング」マシンに発展するでしょう。
米国での2021年7月4日の週末に、REvil は1,500を超える企業、非営利組織および政府機関のITオペレーションを処理したKaseya 社にハッキングして恐喝しました。FBIは後にKaseya ハックの前にランサムウェアグループのサーバーに浸透していたと発表しましたが、その時点では手の内を明かすことができませんでした。REvil はそのコア侵害から、またはREvil の被害者のためにFBIが提供した無料復号化キーのリリースから回復しませんでした。
シチューキンはロシアのクラスノダール出身で、そこに住んでいると思われると、BKAは述べました。
「これまでの調査に基づき、指名手配人物は海外にいる、おそらくロシアにいると想定されています」とBKAは通知しました。「旅行行動は除外できません。」
シチューキンをロシア犯罪フォーラム上のUNKNOWNのさまざまなアカウントに結びつけるものはほとんどありません。しかし、サイバーインテリジェンス企業Intel 471によってインデックス化されたロシア犯罪フォーラムのレビューは、シチューキンを大規模なボットネットを運営し、「インストール」を販売していたハッカーアイデンティティ「Ger0in」に多くの接続があることを示しています。これにより、他のサイバー犯罪者が一度に数千台のPC に彼らが選択した悪意のあるコードを急速にデプロイすることができます。しかし、Ger0in は2010年から2011年の間だけアクティブであり、REvil のフロントマンとしてのUNKNOWNの外観ははるか前です。
BKAがリリースした写真をイメージ比較サイトPimeyes でレビューすると、2023年のこの誕生日のお祝いとの一致が見つかりました。ここにはBKA写真と同じ派手な時計をしているダニエルという名前の若い男が登場します。
2023年のクラスノダールでのダニイル・シチューキンの誕生日パーティーのお祝いからの画像。
翻訳元: https://krebsonsecurity.com/2026/04/germany-doxes-unkn-head-of-ru-ransomware-gangs-revil-gandcrab/
