ドイツの連邦警察(BKA)は、2019年から2021年の間にGandCrabおよびREvil身代金要求型マルウェア作戦の指導者である2人のロシア国籍者を特定しました。
BKAの発表によると、31歳のダニイル・マクシモヴィッチ・シュチューキンと43歳のアナトリー・セルゲイヴィッチ・クラフチュクは、「少なくとも2019年初頭から2021年7月まで」2つの身代金要求型マルウェア集団の長として活動していました。
シュチューキンは数年間、UNKN/UNKNOWNというニックネームで身を隠し、サイバー犯罪フォーラムに投稿し、身代金要求型マルウェア作戦の代表者として発言していました。
ドイツ当局によると、シュチューキンとクラフチュクは、同国を標的にした少なくとも130件の恐喝事件に関与していました。
これらの攻撃に続いて、少なくとも25人の被害者がシュチューキンと共謀者に220万ドルの身代金を支払い、彼らによってもたらされた総財政損害は4000万ドルを超えると推定されています。
GandCrab は2018年初頭に開始され、当時のリーダーは2019年6月に引退することを決定し、身代金から20億ドルを獲得したと主張していました。しかし、リーダーは1億5000万ドルを現金化し、合法的なビジネスに投資したと主張していました。
その直後、GandCrabが確立したアフィリエイトモデルに続く、REvil と呼ばれる新しい作戦が現れ、サイバー犯罪者との広告およびパートナーシップの構築を通じて展開されました。
Sodinokibi としても知られるREvil は、前のGandCrab アフィリエイトおよびオペレータから形成され、彼らはすでに成功した戦術を学び、それを彼ら自身の作戦に適用し始めていました。
REvil はその後、公開リークサイトを追加し、盗まれたデータのオークションを実施して被害者に圧力をかけました。注目すべき被害者には、複数のテキサス州の地方政府、コンピューター大手エイサー、およびKasyeのサプライチェーン攻撃が含まれており、約1,500の下流被害者に影響を与えました。
大規模なKaseya ハックに続いて、REvil は2ヶ月間の休止を取った間、法執行機関が彼らのサーバに侵入し、作戦の監視を開始しました。
当時、複数のインフラストラクチャの中断が記録され、2022年1月中旬にロシアはREvil ギャングメンバーの12人以上を逮捕し、彼らは2025年にカード詐欺の罪で刑期を終えた後に釈放されました。
2021年のREvil の衰退に続いて、シュチューキンまたはクラフチュクが他の身代金要求型マルウェア作戦に参加したかどうかは不明です。
BKA はシュチューキンとクラフチュクは現在ロシアにいると考えており、彼らの所在地につながる可能性のある情報を共有するよう国民に求めています。関連するエントリは、EUの最重要手配犯ポータルにも作成されました。
警察は、2人の脅威アクターの追跡と正義の実現を支援するために、タトゥー写真を含むいくつかの画像を共有しました。
