La police allemande révèle l’identité du chef russe des groupes de ransomware GandCrab et REvil

 (krebsonsecurity.com)
1 points par GN⁺ 27 일 전 | 1 commentaires | Partager sur WhatsApp
  • L’Office fédéral allemand de la police criminelle a révélé l’identité de Daniil Maksimovich Shchukin, ressortissant russe, en le désignant comme le chef des groupes de ransomware GandCrab et REvil
  • Shchukin, actif sous le pseudonyme UNKN (UNKNOWN), est présenté comme une figure clé ayant introduit la double extorsion, consistant à exiger de l’argent à deux reprises des victimes
  • Apparu en 2018, GandCrab a extorqué environ 2 milliards de dollars via un modèle d’affiliation avant de cesser ses activités, puis REvil a pris le relais en ciblant les grandes entreprises
  • Le département de la Justice américain a demandé la saisie de comptes en cryptomonnaies au nom de Shchukin, tandis que les autorités allemandes estiment qu’il réside probablement à Krasnodar, en Russie
  • REvil a évolué vers une structure criminelle industrialisée avec externalisation des tâches et sous-écosystème, avant de s’effondrer après l’attaque contre Kaseya en 2021 et l’intervention du FBI

L’Allemagne révèle l’identité de ‘UNKN’, chef des groupes russes de ransomware GandCrab et REvil

  • Le Bundeskriminalamt (BKA), l’Office fédéral allemand de la police criminelle, désigne le ressortissant russe Daniil Maksimovich Shchukin comme le chef des groupes de ransomware GandCrab et REvil
    • Shchukin est soupçonné d’avoir dirigé au moins 130 actes de sabotage informatique et d’extorsion en Allemagne entre 2019 et 2021
    • Avec un autre ressortissant russe, Anatoly Sergeevitsch Kravchuk, il aurait extorqué environ 2 millions d’euros et causé plus de 35 millions d’euros de dommages économiques au total
  • Le BKA indique que Shchukin opérait sous le pseudonyme « UNKN » (ou UNKNOWN) et qu’il est une figure clé de l’introduction de la double extorsion (double extortion)
    • Les victimes devaient payer une première fois pour obtenir la clé de déchiffrement, puis une seconde fois pour éviter la publication des données volées
    • GandCrab et REvil sont considérés comme de grands réseaux mondiaux de ransomware

Formation et évolution de GandCrab et REvil

  • Le ransomware GandCrab est apparu en janvier 2018 et fonctionnait selon un modèle d’affiliation (affiliate) permettant à des hackers de partager les gains simplement en compromettant des comptes d’entreprise
    • L’équipe de développement a déployé cinq versions majeures pour améliorer continuellement ses fonctions et contourner les réponses des entreprises de sécurité
    • En mai 2019, après avoir extorqué environ 2 milliards de dollars, le groupe a annoncé la fin de ses activités en laissant ce message : « on peut devenir riche sans encombre, même en faisant le mal »
  • Juste après la fin de GandCrab, le ransomware REvil est apparu
    • Un utilisateur nommé UNKNOWN a déposé 1 million de dollars sur un forum criminel russe pour établir sa crédibilité, ce qui a été interprété comme une restructuration de GandCrab
    • REvil a ensuite évolué vers une stratégie de « big game hunting », en ciblant principalement les grandes entreprises et les organisations assurées pour exiger des rançons massives

Identité de Shchukin et enquête internationale

  • En février 2023, le département de la Justice américain a explicitement mentionné le nom de Shchukin en demandant la saisie de comptes en cryptomonnaies liés aux revenus des activités de REvil
    • Ces portefeuilles contenaient environ 317 000 dollars de cryptomonnaies
  • Le BKA a indiqué que Shchukin est originaire de Krasnodar, en Russie, et qu’il est très probable qu’il y réside toujours
    • L’autorité a précisé qu’« un séjour à l’étranger est possible, et des déplacements ne peuvent être exclus »

Organisation de REvil et structure criminelle industrialisée

  • Selon The Ransomware Hunting Team, l’ouvrage de Renee Dudley et Daniel Golden, REvil maximisait son efficacité comme une entreprise légitime grâce à l’externalisation des tâches et au réinvestissement (reinvestment)
    • Les développeurs se concentraient sur l’amélioration de la qualité, tandis que des prestataires externes prenaient en charge le web design, la logistique et les services de chiffrement
    • Un vaste sous-écosystème s’est constitué autour de fournisseurs de « crypters », de brokers d’accès initial et de services de blanchiment de bitcoins, étendant l’industrie criminelle

Principaux incidents et chute

  • Lors du week-end du 4 juillet 2021, REvil a piraté l’entreprise américaine de gestion IT Kaseya, touchant plus de 1 500 clients
    • Le FBI avait déjà infiltré les serveurs de REvil, mais a indiqué ne pas avoir pu intervenir immédiatement afin d’éviter de compromettre l’opération
    • Après la publication par le FBI d’une clé de déchiffrement gratuite, REvil s’est de fait effondré

Indices supplémentaires et confirmation d’identité

  • D’après l’analyse de forums menée par la société de cyberintelligence Intel 471, Shchukin aurait auparavant utilisé le nom « Ger0in » pour vendre des services d’exploitation de botnets et d’installation de malwares
    • Ger0in a été actif entre 2010 et 2011, mais aucun lien direct avec UNKNOWN n’a été confirmé
  • Via le site de comparaison d’images Pimeyes, il a été constaté que la personne figurant sur la photo publiée par le BKA portait la même montre qu’un individu apparaissant sur une photo de fête d’anniversaire à Krasnodar en 2023
  • Lors de la conférence allemande CCC (Chaos Communication Congress) en 2023, un audio doublé en anglais mentionnant Shchukin comme dirigeant de REvil a également été diffusé

À lire aussi

1 commentaires

 
GN⁺ 27 일 전
Avis Hacker News

  • J’avais entendu dire qu’il y a déjà quelques années, des hackers du CCC avaient identifié l’un de ces individus
    Comme mentionné dans la mise à jour, cela avait aussi été abordé dans la vidéo de présentation du CCC
    Je me demande si les autorités ont découvert cela de manière indépendante, ou si elles ont demandé de l’aide à des hackers qui avaient déjà participé à la défense

    • Je ne maîtrise pas ce sujet en profondeur, mais en général, les relations entre le CCC et le BND (les services de renseignement allemands) ne sont pas cordiales
      C’est encore plus vrai depuis l’affaire de surveillance de citoyens allemands par le BND, et il y a aussi eu des tensions historiquement
      Donc si un hacker coopère avec le BND, il risque de perdre la confiance des autres hackers
    • Linus Neumann s’est lui aussi récemment étonné du fait que cela arrive maintenant, dans un épisode du podcast Logbuch Netzpolitik
      D’après lui, ils n’ont d’ailleurs jamais été contactés officiellement

  • Spiegel a récemment publié un reportage vidéo sur cette affaire

  • Je me demande si inscrire quelqu’un sur une liste des personnes les plus recherchées relève du doxxing
    La description officielle indique que « Daniil Maksimovich Shchukin fait l’objet d’un mandat de recherche international pour des faits présumés de chantage par ransomware visant des entreprises et des institutions publiques »

    • Cette formulation me gêne. Le terme doxxing avait à l’origine une connotation négative et s’employait quand on révélait l’identité d’une personne innocente
      Ici, je pense que ‘accuse’ ou ‘unmask’ seraient des termes plus précis
    • Avec l’évolution du langage, on dirait qu’aujourd’hui le mot ‘doxxing’ sert simplement à désigner le fait de publier des informations personnelles sans consentement
    • Certains disent aussi que les États-Unis l’avaient déjà identifié il y a 3 ans
    • J’ai du mal à suivre cette logique. On dirait qu’on prend le RGPD trop au sérieux (je plaisante)
    • Si on avait simplement mis ‘UNKN’ sur une liste de personnes recherchées, ce ne serait pas du doxxing, mais comme ‘UNKN’ a été relié à un vrai nom, on peut considérer que ça en est

  • Je ne vois pas pourquoi « révéler le nom d’un maître chanteur anonyme » serait du doxxing
    L’article ne contient ni adresse, ni informations sur sa famille, ni coordonnées, il se contente d’identifier « une personne à arrêter »

    • On dirait qu’aujourd’hui le sens de doxxing s’est élargi à « divulguer des informations sans le consentement de la personne concernée »
      Le problème, c’est qu’une telle divulgation peut amener des gens autour de lui à le voir comme un criminel ou un voisin riche, ce qui peut déclencher des tentatives de vol ou de chantage
      Il y a même eu des cas où des personnes se sont fait passer pour des services de renseignement afin de faire chanter des cybercriminels victimes de doxxing
    • Et puis, le simple fait de dire que « l’Allemagne le veut » ne semble pas particulièrement impressionnant

  • Les gens semblent trop focalisés sur le sens du mot ‘doxxing’
    Dans les communautés de hackers anonymes, le simple fait d’exposer l’OPSEC (sécurité opérationnelle) de quelqu’un est déjà considéré comme du doxxing
    Certains pratiquent même une forme de full disclosure en rendant publiques immédiatement toutes les failles d’OPSEC
    Sinon, quelqu’un peut accumuler ces informations et les utiliser plus tard pour faire du chantage

  • Je pense que ‘doxxes’ est la bonne orthographe. ‘doxes’ sonne bizarrement, comme « doksiz » à l’oral
    Il y a encore quelques décennies, un titre pareil aurait ressemblé à un jeu de mots absurde

  • Je ne sais pas depuis quand le fait de mettre quelqu’un sur une liste officielle de personnes recherchées est devenu du doxxing
    S’il veut que l’information disparaisse, il lui suffit de se présenter devant le tribunal