ドイツ連邦警察(BKA)は、2019年から2021年の間にGandCrabおよびREvilランサムウェア作戦の指導者として、ロシア国籍の2人の人物を特定した。
BKAの発表によると、31歳のダニイル・マクシモビッチ・シュチューキンと43歳のアナトーリー・セルゲイビッチ・クラフチュークは「2019年初頭から遅くとも2021年7月まで」の2つのランサムウェアグループの指導者として行動していた。
シュチューキンはUNKN/UNKNOWNというニックネームで長年隠れており、サイバー犯罪フォーラムに投稿し、ランサムウェア作戦の代表者として発言していた。
ドイツ当局によると、シュチューキンとクラフチュークは、特に同国を標的とした少なくとも130件の恐喝事件に参加していた。
これらの攻撃に続いて、少なくとも25人の被害者がシュチューキンと彼の共謀者に220万ドルの身代金を支払い、彼らが引き起こした総損害額は4,000万ドルを超えると推定されている。
GandCrabは2018年初頭に開始され、その当時のリーダーは身代金から20億ドルを稼いだと主張して2019年6月に引退することを決定した。しかし、リーダーは1億5,000万ドルを換金し、それを合法的なビジネスに投資したと主張していた。
その直後、GandCrabによって確立されたアフィリエイトモデルに従い、広告とサイバー犯罪者とのパートナーシップ構築を通じて、REvielという新しい作戦が出現した。
Sodinokibiとしても知られるREvil は、すでに成功した戦術を学んでいたGandCrabの前のアフィリエイトおよびオペレーターから形成され、その戦術を自らの作戦に適用し始めた。
REvil はその後、公開リークサイトを追加し、盗まれたデータのオークションを実施して被害者に圧力をかけた。注目すべき被害者には、複数のテキサス州の地方政府、コンピューター大手Acer、および約1,500の下流の被害者に影響を与えたKasyaサプライチェーン攻撃が含まれている。
大規模なKaseya ハックに続いて、REvil は2ヶ月の休止をとり、その期間に法執行機関は彼らのサーバーを侵害し作戦の監視を開始した。
当時、複数のインフラストラクチャー障害が記録され、2022年1月中旬にロシアはREvil ギャングメンバー12人以上を逮捕し、彼らは2025年にカード詐欺罪の時効により釈放された。
シュチューキンとクラフチューク のいずれかが2021年のREvil の衰退後に他のランサムウェア作戦に参加したかどうかは不明である。
BKAはシュチューキンとクラフチューク が現在ロシアにいると考えており、彼らの所在地を特定するのに役立つ可能性のある情報を共有することを一般人に求めている。関連エントリはEUの最重要手配者ポータルにも作成された。
警察は2人の脅迫行為者を追跡し、彼らを正義に導くために役立つタトゥーの写真を含む複数の画像を共有した。
