Polícia alemã revela nome real de líder russo dos grupos de ransomware GandCrab e REvil

 (krebsonsecurity.com)
1 pontos por GN⁺ 22 일 전 | 1 comentários | Compartilhar no WhatsApp
  • O Departamento Federal de Polícia Criminal da Alemanha identificou o cidadão russo Daniil Maksimovich Shchukin como líder dos grupos de ransomware GandCrab e REvil e divulgou seu nome real
  • Shchukin atuava com o apelido UNKN(UNKNOWN) e é conhecido como uma figura central na introdução do método de dupla extorsão, em que a vítima é cobrada duas vezes
  • O GandCrab surgiu em 2018 e, por meio de um modelo de afiliados, extorquiu cerca de US$ 2 bilhões antes de encerrar as atividades; depois disso, surgiu o REvil, que passou a mirar grandes empresas
  • O Departamento de Justiça dos EUA solicitou o confisco de contas de criptomoedas em nome de Shchukin, e as autoridades alemãs afirmaram que é altamente provável que ele resida em Krasnodar, na Rússia
  • O REvil evoluiu para uma estrutura criminosa industrializada, com terceirização de tarefas e um subecossistema próprio, mas entrou em colapso após a intervenção do FBI depois do ataque à Kaseya em 2021

Alemanha revela nome real de ‘UNKN’, líder dos grupos russos de ransomware GandCrab e REvil

  • O Departamento Federal de Polícia Criminal da Alemanha (BKA) identificou o cidadão russo Daniil Maksimovich Shchukin como líder dos grupos de ransomware GandCrab e REvil
    • Shchukin é acusado de liderar pelo menos 130 casos de destruição de sistemas computacionais e extorsão na Alemanha entre 2019 e 2021
    • A investigação aponta que, junto com outro russo, Anatoly Sergeevitsch Kravchuk, ele extorquiu cerca de 2 milhões de euros e causou prejuízos econômicos totais superiores a 35 milhões de euros
  • O BKA afirmou que Shchukin atuava com o apelido ‘UNKN’ (ou UNKNOWN) e foi uma figura central na introdução do modelo de dupla extorsão (double extortion)
    • As vítimas precisavam pagar uma vez para receber a chave de descriptografia e mais uma vez para impedir a divulgação dos dados roubados
    • GandCrab e REvil são considerados grandes redes globais de ransomware

Formação e evolução de GandCrab e REvil

  • O ransomware GandCrab surgiu em janeiro de 2018 e operava um modelo de afiliados (affiliate) que repartia os lucros com hackers que apenas obtinham acesso a contas corporativas
    • A equipe de desenvolvimento lançou cinco versões principais e aprimorou continuamente os recursos para driblar as respostas das empresas de segurança
    • Em maio de 2019, declarou o fim das atividades após extorquir cerca de US$ 2 bilhões, deixando a mensagem de que “é possível ficar rico em segurança mesmo praticando o mal”
  • Logo após o encerramento do GandCrab, surgiu o ransomware REvil
    • Um usuário chamado ‘UNKNOWN’ depositou US$ 1 milhão em um fórum criminoso russo para ganhar credibilidade, o que passou a ser visto como uma reorganização do GandCrab
    • O REvil evoluiu para uma estratégia de ‘big game hunting’, mirando principalmente grandes empresas e organizações seguradas para exigir resgates enormes

Identidade de Shchukin e investigação internacional

  • Em fevereiro de 2023, o Departamento de Justiça dos EUA mencionou nominalmente Shchukin ao solicitar o confisco de contas de criptomoedas contendo lucros das operações do REvil
    • A carteira em questão continha cerca de US$ 317 mil em criptomoedas
  • O BKA afirmou que Shchukin é de Krasnodar, na Rússia, e que há grande probabilidade de ele ainda residir lá
    • Também declarou que “há possibilidade de permanência no exterior, e viagens não podem ser descartadas”

Operação do REvil e estrutura criminosa industrializada

  • Segundo o livro The Ransomware Hunting Team, de Renee Dudley e Daniel Golden, o REvil maximizava a eficiência como uma empresa legítima por meio de terceirização de tarefas e reinvestimento (reinvestment)
    • Os desenvolvedores se concentravam em melhorar a qualidade, enquanto fornecedores externos cuidavam de web design, logística e serviços de criptografia
    • Formou-se um subecossistema com fornecedores de ‘crypters’, corretores de acesso inicial e serviços de lavagem de Bitcoin, expandindo a indústria do crime

Principais incidentes e queda

  • No fim de semana de 4 de julho de 2021, o REvil invadiu a empresa americana de gestão de TI Kaseya, afetando mais de 1.500 clientes
    • O FBI declarou que já havia infiltrado os servidores do REvil, mas não pôde intervir imediatamente para evitar expor a operação
    • Depois, ao divulgar uma chave de descriptografia gratuita, o FBI levou o REvil ao colapso de fato

Pistas adicionais e confirmação de identidade

  • Uma análise de fóruns feita pela empresa de inteligência cibernética Intel 471 encontrou registros de que Shchukin havia usado no passado o nome ‘Ger0in’ para operar botnets e vender serviços de instalação de malware
    • Ger0in atuou entre 2010 e 2011, mas uma ligação direta com UNKNOWN não foi confirmada
  • Por meio do site de comparação de imagens Pimeyes, foi constatado que a pessoa na foto divulgada pelo BKA usava o mesmo relógio que alguém fotografado em uma festa de aniversário em Krasnodar em 2023
  • Na conferência alemã CCC (Chaos Communication Congress) de 2023, também foi divulgado um áudio dublado em inglês no qual Shchukin foi citado como líder do REvil

Leituras relacionadas

1 comentários

 
GN⁺ 22 일 전
Comentários no Hacker News

  • Ouvi dizer que, alguns anos atrás, hackers ligados ao CCC já tinham identificado um desses indivíduos
    Como mencionado na atualização, isso também foi abordado no vídeo da apresentação do CCC
    Fico curioso se as autoridades chegaram a isso de forma independente ou se pediram ajuda aos hackers que já haviam participado da defesa

    • Não conheço esse tema a fundo, mas, em geral, a relação entre o CCC e o BND (serviço de inteligência da Alemanha) não é amistosa
      Especialmente depois do caso em que o BND espionou cidadãos alemães, e historicamente também já houve atritos
      Então, se um hacker coopera com o BND, corre o risco de perder a confiança dos colegas hackers
    • Linus Neumann também comentou recentemente, no episódio do podcast Logbuch Netzpolitik, que achou estranho isso estar acontecendo agora
      Segundo ele, eles também nunca foram contatados oficialmente

  • A Spiegel publicou recentemente uma reportagem em vídeo sobre esse caso

  • Fico em dúvida se colocar alguém na lista dos “mais procurados” conta como doxxing
    A descrição oficial diz: “Daniil Maksimovich Shchukin é procurado internacionalmente sob suspeita de extorsão com ransomware contra empresas e instituições públicas”

    • Essa formulação me incomoda. ‘Doxxing’ originalmente tem uma conotação negativa, usada quando se divulgam dados pessoais de alguém que não fez nada de errado
      Aqui, acho que ‘accuse’ ou ‘unmask’ seriam termos mais precisos
    • Com a mudança da linguagem, hoje em dia parece que ‘doxxing’ passou a significar simplesmente divulgar informações pessoais sem consentimento
    • Também há quem diga que os EUA já o identificaram há 3 anos
    • Tenho dificuldade de entender essa lógica. Parece levar o GDPR a sério demais (brincadeira)
    • Se tivessem apenas colocado ‘UNKN’ na lista de procurados, não seria doxxing, mas como ligaram ‘UNKN’ a um nome real, dá para considerar doxxing

  • Não entendo por que “divulgar o nome de um extorsionário anônimo” seria doxxing
    A matéria não inclui endereço, dados da família nem contato; só revela quem é a “pessoa a ser presa”

    • Hoje em dia o sentido de ‘doxxing’ parece ter se ampliado para “divulgação de informação sem o consentimento da pessoa”
      O problema é que esse tipo de exposição pode fazer com que pessoas ao redor o vejam como criminoso ou vizinho rico, gerando tentativas de furto ou extorsão
      Já houve até casos de gente se passando por agência de inteligência para tentar extorquir cibercriminosos expostos
    • Além disso, a frase “a Alemanha quer” em si não parece ter muito peso

  • As pessoas parecem estar apegadas demais ao significado da palavra ‘doxxing’
    Em comunidades anônimas de hackers, o simples ato de expor a OPSEC (segurança operacional) de alguém já é considerado doxxing
    Alguns fazem isso em estilo de ‘full disclosure’, revelando imediatamente qualquer falha de OPSEC
    Caso contrário, alguém pode guardar essa informação e usá-la depois para chantagem

  • Acho que ‘doxxes’ é a grafia correta. ‘doxes’ soa estranho na pronúncia, como ‘dóksiz’
    Há algumas décadas, uma manchete dessas por si só pareceria um trocadilho incompreensível

  • Não sei desde quando colocar alguém numa lista oficial de procurados passou a ser doxxing
    Se a pessoa quer que a informação saia do ar, basta comparecer ao tribunal