Німецька федеральна кримінальна поліція (BKA) розкрила особу хакера, відомого під псевдонімом UNKN (або UNKNOWN), який очолював два найвідоміші російські ransomware-угруповання — GandCrab та REvil. Ним виявився 31-річний росіянин Данііл Максимович Щукін з Краснодара.
Звинувачення та масштаби збитків
За даними BKA, Щукін разом з іншим росіянином — 43-річним Анатолієм Сергійовичем Кравчуком — здійснив не менше 130 кібератак і актів комп’ютерного саботажу проти жертв у Німеччині в період з 2019 по 2021 рік. У рамках двох десятків атак зловмисники вимагали і отримали загалом близько 2 мільйонів євро, а сукупні економічні збитки перевищили 35 мільйонів євро.
Ім’я Щукіна фігурує також у поданні Міністерства юстиції США від лютого 2023 року щодо конфіскації криптовалютних рахунків, пов’язаних з доходами від діяльності REvil. Цифровий гаманець, пов’язаний зі Щукіним, містив понад 317 000 доларів у криптовалюті, отриманій злочинним шляхом.
GandCrab: піонери подвійного здирництва
Партнерська програма ransomware GandCrab вперше з’явилася у січні 2018 року. Вона виплачувала хакерам-партнерам значну частку прибутку за злам корпоративних мереж і акаунтів великих компаній. Команда GandCrab потім розширювала отриманий доступ, викрадаючи великі масиви внутрішніх документів. За час існування угруповання розробники випустили п’ять основних версій шкідливого ПЗ з новими функціями для обходу антивірусних рішень.
31 травня 2019 року GandCrab оголосив про припинення діяльності, заявивши, що вимагачі загалом здобули понад 2 мільярди доларів від жертв по всьому світу. Прощальне повідомлення групи містило цинічне вихваляння: «Ми — живий доказ того, що можна робити зло і залишитися безкарним».
REvil: еволюція в «машину для полювання на великих»
Партнерська програма ransomware REvil з’явилася приблизно одночасно з розпуском GandCrab. Її фронтменом став користувач під ніком UNKNOWN, який на одному з російських кіберзлочинних форумів продемонстрував серйозність намірів, розмістивши 1 мільйон доларів в ескроу. На той час більшість фахівців із кібербезпеки вже дійшли висновку, що REvil — це фактично реорганізований GandCrab.
В інтерв’ю аналітику Recorded Future Дмитру Смілянцю UNKNOWN описав своє життя у стилі «з багна в мільйонери»: «У дитинстві я рився в смітті і підбирав недопалки. До школи ходив 10 км пішки. Носив одні й ті ж речі шість місяців. У комунальній квартирі не їв два або навіть три дні. Зараз я мільйонер».
Як описано в книзі Рене Дадлі та Деніела Голдена «The Ransomware Hunting Team», REvil реінвестував значну частину злочинних доходів у розвиток і вдосконалення своєї інфраструктури, копіюючи практики легального бізнесу: залучав вузьких спеціалістів, наймав підрядників для окремих завдань — від обходу антивірусів до «відмивання» виплат через біткоїн-мікшери.
Угруповання перетворилося на потужну машину для атак на великий бізнес, зосередившись переважно на організаціях з річним доходом понад 100 мільйонів доларів, які мали страховки від кіберризиків з відомою готовністю до виплат.
Атака на Kaseya та крах REvil
4 липня 2021 року REvil атакував компанію Kaseya, яка обслуговувала IT-інфраструктуру більш ніж 1 500 підприємств, некомерційних організацій і держустанов. Пізніше ФБР повідомило, що на момент атаки агентство вже мало доступ до серверів угруповання, однак не могло розкривати цього публічно. Після того як ФБР випустило безкоштовний ключ розшифрування для жертв REvil, угруповання так і не оговталося від цього удару.
Хто такий Щукін і як його встановили
BKA припускає, що Щукін перебуває на території росії, у рідному Краснодарі, проте не виключає можливих переміщень за кордон. Прямих зв’язків між Щукіним та акаунтами UNKN на злочинних форумах порівняно небагато. Водночас аналіз даних, проіндексованих компанією Intel 471, свідчить про значний збіг між Щукіним та хакером на ніку «Ger0in», який керував великими ботнетами і продавав так звані «installs» — послугу масового розгортання шкідливого ПЗ на тисячах комп’ютерів одночасно. Втім, Ger0in був активний лише у 2010–2011 роках — задовго до появи UNKNOWN у ролі фронтмена REvil.
Додатковим підтвердженням особи слугує збіг фотографій: порівняння поліцейських знімків через сервіс Pimeyes знайшло відповідність з фото з вечірки 2023 року, де молодий чоловік на ім’я Даніель носить той самий дорогий годинник, що і на знімках BKA.
