Shchukins Name tauchte bereits in einem Antrag des US-Justizministeriums vom Februar 2023 auf, mit dem mehrere Kryptowährungskonten beschlagnahmt werden sollten, die mit Erlösen aus den Aktivitäten von REvil in Verbindung stehen. Die in dem Antrag genannte digitale Geldbörse, die Shchukin zugeordnet wird, enthielt laut der US-Regierung mehr als 317.000 Dollar an unrechtmäßig erworbener Kryptowährung.
Das Partnerprogramm der GandCrab-Ransomware trat erstmals im Januar 2018 in Erscheinung. Es zahlte beteiligten Hackern hohe Gewinnanteile allein dafür, dass sie in Nutzerkonten großer Unternehmen eindrangen; das GandCrab-Team versuchte anschließend, diesen Zugang auszuweiten und große Mengen interner Dokumente abzugreifen. Die Entwickler veröffentlichten fünf größere Überarbeitungen des Codes, jeweils mit neuen Funktionen und Fehlerkorrekturen, um Sicherheitsfirmen die Bekämpfung zu erschweren.
Am 31. Mai 2019 verkündete das GandCrab-Team seinen Rückzug, nachdem es nach eigenen Angaben mehr als zwei Milliarden Dollar von Opfern erpresst hatte. „Wir sind der lebende Beweis, dass man Böses tun und ungestraft davonkommen kann", hieß es in der Abschiedsbotschaft.
REvil entstand etwa zur gleichen Zeit wie der Rückzug von GandCrab, angeführt von einem Nutzer namens UNKNOWN, der in einem russischen Cybercrime-Forum eine Million Dollar bei der Treuhand des Forums hinterlegte, um seine Ernsthaftigkeit zu belegen. Viele Sicherheitsexperten kamen schon damals zu dem Schluss, dass REvil im Wesentlichen eine Neuformierung von GandCrab war.
In einem Interview mit Dmitry Smilyanets von Recorded Future schilderte UNKNOWN eine Aufstiegsgeschichte ohne ethische Skrupel: „Als Kind habe ich Müllhalden durchwühlt und Zigarettenstummel geraucht", sagte er. „Ich bin zehn Kilometer zur Schule gelaufen. Ich trug ein halbes Jahr lang dieselbe Kleidung. In meiner Jugend habe ich in einer Gemeinschaftswohnung zwei oder sogar drei Tage nicht gegessen. Heute bin ich Millionär."
Wie in dem Buch „The Ransomware Hunting Team" von Renee Dudley und Daniel Golden beschrieben, investierten UNKNOWN und REvil erhebliche Einnahmen in die Verbesserung ihrer Schadsoftware und ahmten dabei die Praktiken legitimer Unternehmen nach. Sie lagerten Aufgaben außerhalb ihres Kerngeschäfts aus, etwa an Anbieter von „Cryptor"-Diensten, die Ransomware vor gängigen Virenscannern verbargen, an „Initial Access Broker", die gestohlene Zugangsdaten und Netzwerklücken verkauften, sowie an Bitcoin-Mixer zur Geldwäsche.
REvil entwickelte sich zu einer gefürchteten „Big-Game-Hunting"-Maschine, die vor allem Organisationen mit mehr als 100 Millionen Dollar Jahresumsatz und auszahlungsfreudigen Cyberversicherungen ins Visier nahm. Über das Wochenende des 4. Juli 2021 drang die Gruppe in das Unternehmen Kaseya ein, das die IT für mehr als 1.500 Firmen, Non-Profit-Organisationen und Behörden betreute. Das FBI gab später bekannt, die Server der Gruppe schon vor dem Kaseya-Angriff infiltriert zu haben, dies aber zunächst nicht offenlegen zu können. REvil erholte sich weder von dieser Kompromittierung noch von der Veröffentlichung eines kostenlosen Entschlüsselungsschlüssels durch das FBI.
Shchukin stammt laut BKA aus Krasnodar in Russland und soll sich dort aufhalten. „Nach bisherigen Ermittlungen wird davon ausgegangen, dass sich die gesuchte Person im Ausland, vermutlich in Russland, aufhält", teilte die Behörde mit. „Ein Reiseverhalten kann nicht ausgeschlossen werden."
Es gibt nur wenige Verbindungen zwischen Shchukin und den verschiedenen Konten von UNKNOWN in russischen Kriminellenforen. Eine Auswertung der vom Sicherheitsdienstleister Intel 471 indexierten Foren zeigt jedoch zahlreiche Verbindungen zu einer Hacker-Identität namens „Ger0in", die große Botnetze betrieb und „Installs" verkaufte. Allerdings war Ger0in nur zwischen 2010 und 2011 aktiv, lange bevor UNKNOWN als Kopf von REvil auftrat.
