Les autorités allemandes ont identifié Daniil Maksimovich Shchukin, un ressortissant russe de 31 ans, comme une figure clé du gang de ransomware REvil et de son prédécesseur, GandCrab.
Cette identification marque un développement important dans l’enquête sur REvil, connu pour ses opérations agressives et financièrement réussies. L’implication de Chtchoukine dans au moins 130 cyberattaques en Allemagne entre 2019 et 2021 souligne la menace posée par les groupes organisés de ransomwares.
Aux côtés d’un autre suspect, Anatoly Sergeevitsch Kravchuk, les attaques coordonnées de Chtchoukine ont extorqué près de 2 millions d’euros tout en causant plus de 35 millions d’euros de dommages économiques. Les autorités citent Chtchoukine comme l’un des principaux acteurs de l’évolution des tactiques des ransomwares, en particulier du modèle de « double extorsion » qui exige un paiement pour le décryptage et menace la publication des données.
Le gang de ransomwares GandCrab est apparu pour la première fois en 2018, utilisant un modèle d’affiliation pour augmenter la participation aux bénéfices des pirates informatiques qui piratent les systèmes d’entreprise. En mai 2019, GandCrab affirmait avoir gagné plus de 2 milliards de dollars avant sa fermeture. Le gang REvil est ensuite apparu, considéré comme une continuation des opérations de GandCrab, Chtchoukine utilisant le pseudonyme « INCONNU ».
REvil était connu pour cibler les grandes organisations ayant des revenus importants et une cyberassurance, en se livrant à ce que l’on appelle la « chasse au gros gibier ». Ce modèle a permis à REvil de fonctionner davantage comme une entreprise, en externalisant les tâches critiques et en réinvestissant ses bénéfices pour améliorer ses capacités en matière de logiciels malveillants.
L’attaque de Kaseya en 2021, liée à REvil, a perturbé plus de 1 500 entreprises dans le monde. Bien qu’il s’agisse d’une violation importante, elle a également conduit au déclin des opérations de REvil lorsque le FBI a accédé à l’infrastructure du groupe et a ensuite publié une clé de décryptage gratuite.
Shchukin a déjà été mentionné dans un dossier du ministère américain de la Justice de 2023 concernant les saisies de cryptomonnaies liées à REvil, qui comprenaient des portefeuilles numériques contenant plus de 317 000 $ de fonds illicites. Malgré cette identification, les autorités ont déclaré que Chtchoukine restait probablement en Russie, ce qui rendait difficile toute action immédiate des forces de l’ordre.
Ce développement reflète un rare succès dans l’attribution des opérations de ransomware, soulignant l’influence continue de l’organisation structurelle lancée par GandCrab et utilisée par REvil. Les forces de l’ordre notent que malgré l’identification des opérateurs, le cadre opérationnel perdure, soulignant l’industrialisation et l’évolution du paysage des ransomwares.
