La police allemande révèle l’identité du chef russe des groupes de ransomware GandCrab et REvil

 (krebsonsecurity.com)
1 points par GN⁺ 22 일 전 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • L’Office fédéral allemand de la police criminelle a révélé l’identité de Daniil Maksimovich Shchukin, ressortissant russe, en le désignant comme le chef des groupes de ransomware GandCrab et REvil
  • Shchukin, actif sous le pseudonyme UNKN (UNKNOWN), est présenté comme une figure clé ayant introduit la double extorsion, consistant à exiger de l’argent à deux reprises des victimes
  • Apparu en 2018, GandCrab a extorqué environ 2 milliards de dollars via un modèle d’affiliation avant de cesser ses activités, puis REvil a pris le relais en ciblant les grandes entreprises
  • Le département de la Justice américain a demandé la saisie de comptes en cryptomonnaies au nom de Shchukin, tandis que les autorités allemandes estiment qu’il réside probablement à Krasnodar, en Russie
  • REvil a évolué vers une structure criminelle industrialisée avec externalisation des tâches et sous-écosystème, avant de s’effondrer après l’attaque contre Kaseya en 2021 et l’intervention du FBI

L’Allemagne révèle l’identité de ‘UNKN’, chef des groupes russes de ransomware GandCrab et REvil

  • Le Bundeskriminalamt (BKA), l’Office fédéral allemand de la police criminelle, désigne le ressortissant russe Daniil Maksimovich Shchukin comme le chef des groupes de ransomware GandCrab et REvil
    • Shchukin est soupçonné d’avoir dirigé au moins 130 actes de sabotage informatique et d’extorsion en Allemagne entre 2019 et 2021
    • Avec un autre ressortissant russe, Anatoly Sergeevitsch Kravchuk, il aurait extorqué environ 2 millions d’euros et causé plus de 35 millions d’euros de dommages économiques au total
  • Le BKA indique que Shchukin opérait sous le pseudonyme « UNKN » (ou UNKNOWN) et qu’il est une figure clé de l’introduction de la double extorsion (double extortion)
    • Les victimes devaient payer une première fois pour obtenir la clé de déchiffrement, puis une seconde fois pour éviter la publication des données volées
    • GandCrab et REvil sont considérés comme de grands réseaux mondiaux de ransomware

Formation et évolution de GandCrab et REvil

  • Le ransomware GandCrab est apparu en janvier 2018 et fonctionnait selon un modèle d’affiliation (affiliate) permettant à des hackers de partager les gains simplement en compromettant des comptes d’entreprise
    • L’équipe de développement a déployé cinq versions majeures pour améliorer continuellement ses fonctions et contourner les réponses des entreprises de sécurité
    • En mai 2019, après avoir extorqué environ 2 milliards de dollars, le groupe a annoncé la fin de ses activités en laissant ce message : « on peut devenir riche sans encombre, même en faisant le mal »
  • Juste après la fin de GandCrab, le ransomware REvil est apparu
    • Un utilisateur nommé UNKNOWN a déposé 1 million de dollars sur un forum criminel russe pour établir sa crédibilité, ce qui a été interprété comme une restructuration de GandCrab
    • REvil a ensuite évolué vers une stratégie de « big game hunting », en ciblant principalement les grandes entreprises et les organisations assurées pour exiger des rançons massives

Identité de Shchukin et enquête internationale

  • En février 2023, le département de la Justice américain a explicitement mentionné le nom de Shchukin en demandant la saisie de comptes en cryptomonnaies liés aux revenus des activités de REvil
    • Ces portefeuilles contenaient environ 317 000 dollars de cryptomonnaies
  • Le BKA a indiqué que Shchukin est originaire de Krasnodar, en Russie, et qu’il est très probable qu’il y réside toujours
    • L’autorité a précisé qu’« un séjour à l’étranger est possible, et des déplacements ne peuvent être exclus »

Organisation de REvil et structure criminelle industrialisée

  • Selon The Ransomware Hunting Team, l’ouvrage de Renee Dudley et Daniel Golden, REvil maximisait son efficacité comme une entreprise légitime grâce à l’externalisation des tâches et au réinvestissement (reinvestment)
    • Les développeurs se concentraient sur l’amélioration de la qualité, tandis que des prestataires externes prenaient en charge le web design, la logistique et les services de chiffrement
    • Un vaste sous-écosystème s’est constitué autour de fournisseurs de « crypters », de brokers d’accès initial et de services de blanchiment de bitcoins, étendant l’industrie criminelle

Principaux incidents et chute

  • Lors du week-end du 4 juillet 2021, REvil a piraté l’entreprise américaine de gestion IT Kaseya, touchant plus de 1 500 clients
    • Le FBI avait déjà infiltré les serveurs de REvil, mais a indiqué ne pas avoir pu intervenir immédiatement afin d’éviter de compromettre l’opération
    • Après la publication par le FBI d’une clé de déchiffrement gratuite, REvil s’est de fait effondré

Indices supplémentaires et confirmation d’identité

  • D’après l’analyse de forums menée par la société de cyberintelligence Intel 471, Shchukin aurait auparavant utilisé le nom « Ger0in » pour vendre des services d’exploitation de botnets et d’installation de malwares
    • Ger0in a été actif entre 2010 et 2011, mais aucun lien direct avec UNKNOWN n’a été confirmé
  • Via le site de comparaison d’images Pimeyes, il a été constaté que la personne figurant sur la photo publiée par le BKA portait la même montre qu’un individu apparaissant sur une photo de fête d’anniversaire à Krasnodar en 2023
  • Lors de la conférence allemande CCC (Chaos Communication Congress) en 2023, un audio doublé en anglais mentionnant Shchukin comme dirigeant de REvil a également été diffusé

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.