2026-04-06 00:00
← VoltarUm hacker esquivo que usava o apelido “UNKN” e comandava os primeiros grupos russos de ransomware GandCrab e REvil agora tem um nome e um rosto. As autoridades na Alemanha dizem que o russo Daniil Maksimovich Shchukin, de 31 anos, chefiou ambas as gangues de crimes cibernéticos e ajudou a realizar pelo menos 130 atos de sabotagem e extorsão de computadores contra vítimas em todo o país entre 2019 e 2021. Shchukin foi nomeado como UNKN (também conhecido como UNKNOWN) em um comunicado publicado pela Polícia Criminal Federal Alemã (o “Bundeskriminalamt” ou BKA, para abreviar). O BKA disse que Shchukin e outro russo – Anatoly Sergeevitsch Kravchuk, de 43 anos – extorquiram quase 2 milhões de euros em duas dúzias de ataques cibernéticos que causaram mais de 35 milhões de euros em danos económicos totais. O BKA da Alemanha disse que Shchukin atuou como chefe de um dos maiores grupos de ransomware em operação no mundo, GandCrab e REvil, que foi pioneiro na prática de dupla extorsão – cobrando das vítimas uma vez por uma chave necessária para desbloquear sistemas hackeados e um pagamento separado em troca de uma promessa de não publicar dados roubados. O nome de Shchukin apareceu em um processo (PDF) de fevereiro de 2023 do Departamento de Justiça dos EUA buscando a apreensão de várias contas de criptomoeda associadas aos rendimentos das atividades da gangue de ransomware REvil. O governo disse que a carteira digital vinculada a Shchukin continha mais de US$ 317.000 em criptomoedas...
Um hacker esquivo que usava o apelido “UNKN” e comandava os primeiros grupos russos de ransomware GandCrab e REvil agora tem um nome e um rosto. As autoridades na Alemanha dizem que o russo Daniil Maksimovich Shchukin, de 31 anos, chefiou ambas as gangues de crimes cibernéticos e ajudou a realizar pelo menos 130 atos de sabotagem e extorsão de computadores contra vítimas em todo o país entre 2019 e 2021. Shchukin foi nomeado como UNKN (também conhecido como UNKNOWN) em um comunicado publicado pela Polícia Criminal Federal Alemã (o “Bundeskriminalamt” ou BKA, para abreviar). O BKA disse que Shchukin e outro russo – Anatoly Sergeevitsch Kravchuk, de 43 anos – extorquiram quase 2 milhões de euros em duas dúzias de ataques cibernéticos que causaram mais de 35 milhões de euros em danos económicos totais. O BKA da Alemanha disse que Shchukin atuou como chefe de um dos maiores grupos de ransomware em operação no mundo, GandCrab e REvil, que foi pioneiro na prática de dupla extorsão – cobrando das vítimas uma vez por uma chave necessária para desbloquear sistemas hackeados e um pagamento separado em troca de uma promessa de não publicar dados roubados. O nome de Shchukin apareceu em um processo (PDF) de fevereiro de 2023 do Departamento de Justiça dos EUA buscando a apreensão de várias contas de criptomoeda associadas aos rendimentos das atividades da gangue de ransomware REvil. O governo disse que a carteira digital vinculada a Shchukin continha mais de US$ 317.000 em criptomoedas obtidas ilicitamente. O programa de afiliados do ransomware GandCrab surgiu pela primeira vez em janeiro de 2018 e pagou a hackers empreendedores grandes parcelas dos lucros apenas por invadirem contas de usuários em grandes corporações.
A equipe do GandCrab tentaria então expandir esse acesso, muitas vezes desviando grandes quantidades de documentos confidenciais e internos no processo. Os curadores do malware enviaram cinco revisões principais ao código GandCrab, cada uma correspondendo a novos recursos e correções de bugs destinadas a frustrar os esforços das empresas de segurança de computadores para impedir a propagação do malware. Em 31 de maio de 2019, a equipe do GandCrab anunciou que o grupo estava fechando após extorquir mais de US$ 2 bilhões das vítimas. “Somos uma prova viva de que você pode fazer o mal e sair impune”, disse o famoso discurso de despedida de GandCrab. "Provamos que é possível ganhar dinheiro para uma vida inteira em um ano. Provamos que é possível se tornar o número um por admissão geral, e não por sua própria imaginação." O programa de afiliados do ransomware REvil se materializou próximo ao desaparecimento do GandCrab, liderado por um usuário chamado UNKNOWN que anunciou em um fórum russo de crimes cibernéticos que havia depositado US$ 1 milhão no depósito do fórum para mostrar que estava falando sério. A essa altura, muitos especialistas em segurança cibernética haviam concluído que o REvil era pouco mais do que uma reorganização do GandCrab. UNKNOWN também deu uma entrevista a Dmitry Smilyanets, um ex-hacker malicioso contratado pela Recorded Future, onde UNKNOWN descreveu uma história da pobreza à riqueza, livre de ética e moral.
“Quando criança, eu vasculhava os montes de lixo e fumava bitucas de cigarro”, disse UNKNOWN ao Recorded Future. “Caminhei 10 km só de ida até a escola. Usei as mesmas roupas durante seis meses. Na minha juventude, em um apartamento comunitário, não comia por dois ou até três dias. Agora sou milionário.” Conforme descrito em The Ransomware Hunting Team, de Renee Dudley e Daniel Golden, UNKNOWN e REvil reinvestiram ganhos significativos para melhorar seu sucesso e espelhar práticas de negócios legítimos. Os autores escreveram: "Assim como um fabricante do mundo real pode contratar outras empresas para lidar com logística ou web design, os desenvolvedores de ransomware terceirizam cada vez mais tarefas além de seu alcance, concentrando-se em melhorar a qualidade de seu ransomware. O ransomware de maior qualidade - que, em muitos casos, a equipe de caça não conseguiu quebrar - resultou em pagamentos maiores e maiores por parte das vítimas. Os pagamentos monumentais permitiram que as gangues reinvestissem em suas empresas.
Eles contrataram mais especialistas e seu sucesso acelerou". "Os criminosos correram para se juntar à crescente economia do ransomware. Provedor de serviços auxiliares do submundo s surgiram ou foram impulsionados por outros trabalhos criminosos para atender à demanda dos desenvolvedores por suporte personalizado. Em parceria com gangues como a GandCrab, os provedores de “criptografia” garantiram que o ransomware não pudesse ser detectado pelos scanners antimalware padrão. ‘Corretoras de acesso inicial’ especializadas em roubar credenciais e encontrar vulnerabilidades em redes alvo, vendendo esse acesso a operadores e afiliados de ransomware. Os “copos” de Bitcoin ofereciam descontos às gangues que os usavam como fornecedor preferencial para lavagem de pagamentos de resgate. Alguns empreiteiros estavam abertos a trabalhar com qualquer gangue, enquanto outros firmavam parcerias exclusivas.” O REvil evoluiria para uma temida máquina de “caça aos grandes jogos”, capaz de extrair pesados pagamentos de extorsão das vítimas, perseguindo em grande parte organizações com mais de 100 milhões de dólares em receitas anuais e novas e gordas apólices de seguro cibernético que eram conhecidas por pagar. Durante o fim de semana de 4 de julho de 2021 nos Estados Unidos, REvil invadiu e extorquiu a Kaseya, uma empresa que administrava operações de TI para mais de 1.500 empresas, organizações sem fins lucrativos e agências governamentais.
O FBI anunciaria mais tarde que havia se infiltrado nos servidores do grupo de ransomware antes do hack do Kaseya, mas não conseguiu avisar no momento. O REvil nunca se recuperou desse comprometimento central, ou da liberação pelo FBI de uma chave de descriptografia gratuita para vítimas do REvil que não puderam ou não pagaram. Shchukin é de Krasnodar, na Rússia, e acredita-se que resida lá, disse o BKA. “Com base nas investigações até agora, presume-se que a pessoa procurada esteja no exterior, provavelmente na Rússia”, informou o BKA. “O comportamento de viagem não pode ser descartado.” Há pouco que ligue Shchukin às várias contas de UNKNOWN nos fóruns criminais russos. Mas uma análise dos fóruns criminais russos indexados pela empresa de inteligência cibernética Intel 471 mostra que há muitas ligações entre Shchukin e uma identidade hacker chamada “Ger0in”, que operava grandes botnets e vendia “instalações” – permitindo que outros cibercriminosos implantassem rapidamente malware da sua escolha em milhares de PCs de uma só vez. No entanto, Ger0in só esteve ativo entre 2010 e 2011, bem antes da aparição de UNKNOWN como vocalista do REvil. Uma análise das fotos divulgadas pelo BKA no site de comparação de imagens Pimeyes encontrou uma correspondência nesta comemoração de aniversário de 2023, que mostra um jovem chamado Daniel usando o mesmo relógio sofisticado das fotos do BKA.
Atualização, 6 de abril, 12h06. ET: Um leitor encaminhou esta gravação de áudio dublada em inglês de uma palestra em conferência ccc.de (37C3) na Alemanha de 2023 que anteriormente revelou Shchukin como o líder do REvil (Shchuckin é mencionado por volta de 24:25).