BKA identifiziert REvil-Anführer hinter 130 Ransomware-Attacken
BKA enthüllt Identität der REvil-Hintermänner
Das Bundeskriminalamt hat die Identität der Hauptakteure der REvil-Ransomware-Gruppe veröffentlicht. Daniil Maksimovich Shchukin (alias "UNKN") und Anatoly Sergeevitsch Kravchuk werden für 130 Erpressungsattacken in Deutschland verantwortlich gemacht.
Die Zahlen
| Kennzahl | Wert |
|---|---|
| Deutschlandweite Attacken | 130 |
| Lösegeldzahlungen | 25 |
| Lösegeldsumme | €1.9 Millionen |
| Gesamtschaden | €35.4 Millionen |
Die Identifizierten
Daniil Maksimovich Shchukin (31, geboren 05.10.1994 in Krasnodarskiy, Russland) fungierte als Kopf der GandCrab/REvil-Gruppierung. Unter dem Alias "UNKN" warb er im Juni 2019 auf dem XSS-Cybercrime-Forum für die Ransomware. Weitere Aliase: Oneiilk2, Oneillk2, Oneillk22, GandCrab.
Anatoly Sergeevitsch Kravchuk (43, geboren 13.06.1982 in Makeevka, Ukraine) agierte als Entwickler der REvil-Malware während des gleichen Zeitraums.
REvil: Eine der gefährlichsten RaaS-Operationen
REvil (auch Sodinokibi, Water Mare, Gold Southfield) entstand als Weiterentwicklung der GandCrab-Ransomware und operierte als Ransomware-as-a-Service (RaaS). Die Gruppe zählte Unternehmen wie JBS und Kaseya zu ihren prominenten Opfern.
In einem Interview mit Recorded Future (March 2021) beschrieb UNKN seinen Weg:
"Als Kind suchte ich in Müllhaufen und rauchte Zigarettenstummel. Ich ging 10 km zur Schule. Ich trug sechs Monate die gleichen Kleidung. In meiner Jugend, in einer Gemeinschaftsunterkunft, habe ich zwei oder drei Tage nichts gegessen. Jetzt bin ich Millionär."
Timeline der REvil-Operation
| Datum | Ereignis |
|---|---|
| Juni 2019 | UNKN erscheint auf XSS-Forum |
| April 2021 | JBS-Angriff ($11M Lösegeld) |
| Juli 2021 | Kaseya-Supply-Chain-Angriff |
| Juli 2021 | Gruppe geht mysteriös offline |
| September 2021 | Resurfacing |
| Oktober 2021 | Operations beendet (Law Enforcement) |
| November 2021 | 2 Affiliates in Rumänien verhaftet |
| Januar 2022 | Russische FSB verhaftet mehrere REvil-Mitglieder |
| Oktober 2024 | 4 REvil-Member zu Haftstrafen verurteilt |
| März 2026 | BKA veröffentlicht Fahndung |
| April 2026 | Identitäten öffentlich bekannt |
Internationale Fahndung
Die Generalstaatsanwaltschaft Karlsruhe (Cybercrime-Zentrum) und das Landeskriminalamt Baden-Württemberg führen die Ermittlungen. Die Gesuchten halten sich mutmaßlich in Russland auf.
Quellen: The Hacker News, Krebs on Security, BKA Pressemitteilung
Geschrieben von
Marlon Hübner