Die deutschen Ermittler haben monatelange Recherchen abgeschlossen und präsentieren nun konkrete Erkenntnisse über einen der einflussreichsten Cyberkriminellen der letzten Jahre. Daniil Maksimovich Shchukin, der sich im Untergrund als “UNKN” oder “UNKNOWN” präsentierte, entwickelte sich vom Operator zur Legende der internationalen Ransomware-Szene.
GandCrab war der Anfang: Das Affiliate-Programm startete im Januar 2018 und revolutionierte die Cyberkriminalität mit einem innovativen Geschäftsmodell. Shchukin bot anderen Hackern großzügige Gewinnbeteiligungen an, wenn diese Zugang zu Unternehmensnetzen verschafften. Das GandCrab-Team implementierte fünf größere Softwareversionen mit ständigen Verbesserungen und Sicherheitsmechanismen, um Sicherheitsfirmen zu umgehen. Bis zur Abschaltung 2019 erpresste die Gruppe mehr als zwei Milliarden Dollar von ihren Opfern.
Als GandCrab im Mai 2019 mit einer provokanten Abschiedsbotschaft verschwand, war Shchukins nächstes Projekt bereits in Vorbereitung. REvil entstieg sozusagen aus den Ruinen von GandCrab und etablierte sich schnell als noch professionellere, gefährlichere Variante. Um Glaubwürdigkeit zu demonstrieren, deponierte “UNKNOWN” – die neue Identität Shchukins – eine Million Dollar in einem Escrow-Konto eines russischen Cybercrime-Forums.
Die Ransomware-Gruppe perfektionierte das Double-Extortion-Modell: Zusätzlich zur Lösegeldzahlung für Entschlüsselungsschlüssel forderten sie Zahlungen für das Versprechen, gestohlene Daten nicht zu veröffentlichen. REvil fokussierte auf sogenannte “Big-Game-Hunting”-Opfer – Unternehmen mit über 100 Millionen Dollar Jahresumsatz und Cyberversicherungen mit hohen Deckungssummen.
Der spektakulärste Anschlag war der Hack auf Kaseya im Juli 2021, der über 1.500 Unternehmen, Nonprofits und Behörden betraf. Das FBI hatte die Server der Gruppe bereits infiltriert, konnte dies aber nicht offenbaren. Nach dieser Kompromittierung und der Freigabe eines kostenlosen Entschlüsselungswerkzeugs durch das FBI zerfiel REvil.
Die BKA ermittelte Shchukins Verbindung zu älteren Hacker-Identitäten wie “Ger0in”, der zwischen 2010 und 2011 große Botnetze betrieb. Im Februar 2023 ordnete das US-Justizministerium die Beschlagnahme von Kryptowallet-Konten an, die mit REvil-Aktivitäten verknüpft waren. Eine Geldbörse unter Shchukins Kontrolle enthielt über 317.000 Dollar in illegal erworbenen Kryptowährungen.
Obwohl Shchukin derzeit in Russland vermutet wird – der BKA zufolge ohne feste Ortsangabe – markiert die Enttarnung einen wichtigen Sieg für die internationale Strafverfolgung. Sie demonstriert, dass selbst die vorsichtigsten Cyberkriminellen nicht vollständig anonym bleiben können.