La policía alemana revela la identidad del líder ruso de las bandas de ransomware GandCrab y REvil

 (krebsonsecurity.com)
1 puntos por GN⁺ 22 일 전 | 1 comentarios | Compartir por WhatsApp
  • La Oficina Federal de Investigación Criminal de Alemania identificó públicamente al ciudadano ruso Daniil Maksimovich Shchukin como el líder de las bandas de ransomware GandCrab y REvil
  • Shchukin operaba bajo el alias de UNKN (UNKNOWN) y es señalado como una figura clave en la introducción de la doble extorsión, en la que se exige dinero a las víctimas dos veces
  • GandCrab apareció en 2018 y, mediante un modelo de afiliados, extorsionó cerca de 2 mil millones de dólares antes de desaparecer; luego surgió REvil, que pasó a apuntar a grandes empresas
  • El Departamento de Justicia de EE. UU. solicitó el embargo de cuentas de criptomonedas a nombre de Shchukin, mientras que las autoridades alemanas señalaron que probablemente reside en Krasnodar, Rusia
  • REvil evolucionó hacia una estructura criminal industrializada con externalización operativa y un subecosistema propio, pero colapsó tras la intrusión a Kaseya en 2021 y la intervención del FBI

Alemania revela la identidad de ‘UNKN’, líder de las bandas rusas de ransomware GandCrab y REvil

  • La Oficina Federal de Investigación Criminal de Alemania (BKA) señaló al ciudadano ruso Daniil Maksimovich Shchukin como líder de las bandas de ransomware GandCrab y REvil
    • Shchukin está acusado de haber encabezado al menos 130 actos de destrucción informática y extorsión en Alemania entre 2019 y 2021
    • También se investiga que, junto con otro ruso, Anatoly Sergeevitsch Kravchuk, extorsionó alrededor de 2 millones de euros y causó daños económicos por más de 35 millones de euros en total
  • La BKA informó que Shchukin operaba bajo el alias de “UNKN” (o UNKNOWN) y que fue una figura clave en la introducción de la doble extorsión (double extortion)
    • Las víctimas debían pagar una vez para recibir la clave de descifrado y una segunda vez para evitar la publicación de los datos robados
    • GandCrab y REvil son considerados grandes redes globales de ransomware

Formación y evolución de GandCrab y REvil

  • El ransomware GandCrab apareció en enero de 2018 y operó con un modelo de afiliados (affiliate) que repartía ganancias a hackers con solo comprometer cuentas corporativas
    • El equipo de desarrollo lanzó cinco versiones principales y fue mejorando continuamente sus funciones para evadir la respuesta de las empresas de seguridad
    • En mayo de 2019, anunció el fin de sus operaciones tras extorsionar cerca de 2 mil millones de dólares, dejando el mensaje de que “también se puede hacerse rico con el mal sin sufrir consecuencias”
  • Poco después de la desaparición de GandCrab apareció el ransomware REvil
    • Un usuario llamado “UNKNOWN” depositó 1 millón de dólares en un foro criminal ruso para ganar credibilidad, y esto fue interpretado como una reestructuración de GandCrab
    • REvil evolucionó hacia una estrategia de “big game hunting” al apuntar principalmente a grandes empresas y organizaciones aseguradas, exigiendo rescates enormes

Identidad de Shchukin e investigación internacional

  • En febrero de 2023, el Departamento de Justicia de EE. UU. mencionó expresamente el nombre de Shchukin al solicitar el embargo de una cuenta de criptomonedas con ganancias obtenidas por actividades de REvil
    • La billetera contenía aproximadamente 317 mil dólares en criptomonedas
  • La BKA indicó que Shchukin es originario de Krasnodar, Rusia, y que es muy probable que siga viviendo allí
    • También señaló que “es posible que se encuentre en el extranjero, y no se pueden descartar actividades de viaje”

La operación de REvil y la industrialización de la estructura criminal

  • Según el libro The Ransomware Hunting Team de Renee Dudley y Daniel Golden, REvil maximizó su eficiencia como si fuera una empresa legítima mediante externalización operativa y reinversión (reinvestment)
    • Los desarrolladores se enfocaban en mejorar la calidad, mientras proveedores externos se encargaban de diseño web, logística y servicios de cifrado
    • Se formó un subecosistema con proveedores de “crypters”, brokers de acceso inicial y servicios de lavado de Bitcoin, expandiendo así la industria criminal

Hechos clave y caída

  • Durante el fin de semana del 4 de julio de 2021, REvil hackeó a la empresa estadounidense de gestión de TI Kaseya, afectando a más de 1,500 clientes
    • El FBI informó que ya había infiltrado los servidores de REvil, pero no pudo intervenir de inmediato para evitar exponer la operación
    • Después, el FBI publicó una clave de descifrado gratuita, y REvil quedó prácticamente desmantelado

Pistas adicionales y verificación de identidad

  • Según el análisis de foros de la firma de ciberinteligencia Intel 471, Shchukin anteriormente usó el nombre “Ger0in” y vendía servicios de operación de botnets e instalación de malware
    • Ger0in estuvo activo entre 2010 y 2011, aunque no se ha confirmado una conexión directa con UNKNOWN
  • A través del sitio de comparación de imágenes Pimeyes, se observó que la persona de la foto publicada por la BKA llevaba el mismo reloj que la persona en una foto de una fiesta de cumpleaños en Krasnodar de 2023
  • En la conferencia alemana CCC (Chaos Communication Congress) de 2023 también se publicó un audio doblado al inglés en el que se mencionaba a Shchukin como líder de REvil

Lecturas relacionadas

1 comentarios

 
GN⁺ 22 일 전
Comentarios de Hacker News

  • Escuché que hace años hackers del CCC ya habían identificado a una de estas personas
    Como se menciona en la actualización, también se trató en la charla del CCC
    Me da curiosidad si las autoridades investigadoras lo averiguaron por su cuenta, o si pidieron ayuda a hackers que ya habían participado en la defensa

    • No conozco este tema a fondo, pero en general el CCC y el BND (servicio de inteligencia alemán) no tienen una relación precisamente cordial
      Especialmente después del caso en que el BND espió a ciudadanos alemanes, y también ha habido roces históricos
      Así que si un hacker coopera con el BND, corre el riesgo de perder la confianza de otros hackers
    • Linus Neumann también comentó recientemente en un episodio del podcast Logbuch Netzpolitik que le parecía extraño que esto estuviera ocurriendo ahora
      Según dijo, a ellos tampoco los contactaron oficialmente

  • Spiegel publicó recientemente un reporte en video sobre este caso

  • Me surge la duda de si poner a alguien en una lista de “los más buscados” cuenta como doxing
    La descripción oficial dice que “Daniil Maksimovich Shchukin es buscado internacionalmente por presunta extorsión con ransomware contra empresas e instituciones públicas”

    • Esa forma de decirlo me incomoda. ‘Doxing’ originalmente tiene una connotación negativa y se usa cuando se publica información personal de alguien que no ha hecho nada malo
      Aquí creo que ‘accuse’ o ‘unmask’ serían términos más precisos
    • A medida que cambia el lenguaje, hoy en día parece que ‘doxing’ se usa simplemente para publicar datos personales sin consentimiento
    • También se dice que Estados Unidos ya lo había identificado hace 3 años
    • Me cuesta entender esa lógica. Parece tomarse el GDPR demasiado en serio (es broma)
    • Si simplemente hubieran puesto a ‘UNKN’ en una lista de búsqueda, no sería doxing, pero como vincularon a ‘UNKN’ con un nombre real, se puede ver como doxing

  • No entiendo por qué “publicar el nombre de un extorsionador anónimo” sería doxing
    El artículo no incluye dirección, datos de familiares ni contacto; solo identifica a una “persona buscada para arresto”

    • Parece que últimamente el significado de ‘doxing’ se amplió a “divulgación de información sin el consentimiento de la persona”
      El problema es que esa divulgación puede hacer que quienes lo rodean lo vean como criminal o vecino rico, lo que podría provocar intentos de robo o extorsión
      De hecho, hubo casos de personas que incluso se hicieron pasar por agencias de inteligencia para extorsionar a ciberdelincuentes doxeados
    • Además, eso de que “Alemania lo quiere” tampoco suena como algo con mucho peso

  • Siento que la gente se está obsesionando demasiado con el significado de la palabra ‘doxing’
    En las comunidades de hacking anónimo, el simple hecho de exponer el OPSEC (seguridad operativa) de alguien ya se considera doxing
    Algunos siguen un enfoque de ‘full disclosure’ y publican de inmediato cualquier fallo de OPSEC
    Si no, alguien podría guardar esa información y usarla después para chantajear

  • Creo que la ortografía correcta es ‘doxxes’. ‘doxes’ suena raro, como si se pronunciara ‘dok-siz’
    Hace unas décadas, un titular así mismo habría sonado como un juego de palabras críptico

  • No sé desde cuándo poner a alguien en una lista oficial de búsqueda pasó a considerarse doxing
    Si quiere que bajen la información, basta con que se presente ante el tribunal