Das Bundeskriminalamt hat Licht in die Strukturen zweier der gefährlichsten Ransomware-Organisationen der jüngeren Vergangenheit gebracht. Die Ermittlungen zeigen, wie professionell und arbeitsteilig moderne Cyberkriminelle vorgehen — und wie schwer es ist, sie zur Rechenschaft zu ziehen.
Shchukin nutzte jahrelang die Decknamen UNKN beziehungsweise UNKNOWN und trat als Sprecher der Ransomware-Organisation auf Cyberkriminalitätsforen auf. Damit war er das öffentliche Gesicht einer äußerst lukrativen kriminellen Unternehmung. Die beiden Männer sollen von mindestens Anfang 2019 bis Juli 2021 gemeinsam agiert haben und dabei ein kriminelles Ökosystem aufgebaut haben, das tausende Unternehmen weltweit ins Visier nahm.
Die Geschichte dieser Ransomware-Banden beginnt mit GandCrab, das im frühen 2018 startete. Der ursprüngliche Anführer erklärte 2019 seinen Rückzug und behauptete, zwei Milliarden Dollar durch Lösegelder verdient zu haben — kassierte dann aber auch noch 150 Millionen Dollar ab. REvil entstand im Anschluss aus den Reihen ehemaliger GandCrab-Affiliates und übernahm das bewährte Geschäftsmodell mit Partnerschaften und Werbung auf Cyberkriminalitätsplattformen.
Die deutsche Bilanz ist bedrückend: Mindestens 130 Erpressungsfälle gegen Unternehmen im Bundesgebiet, über 40 Millionen Euro Gesamtschaden. 25 Opfer zahlten insgesamt 2,2 Millionen Euro Lösegeld. REvil expandierte später durch öffentliche Leak-Seiten und Daten-Auktionen, um den Druck auf Opfer zu erhöhen. Berüchtigte Ziele waren lokale Behörden in Texas, der Computerkonzern Acer und der Kaseya-Angriffskettenattacke, die etwa 1.500 nachgelagerte Opfer betraf.
Nach dem Kaseya-Hack pausierte REvil für zwei Monate. In dieser Zeit gelang es Strafverfolgungsbehörden, in ihre Server einzudringen und deren Operationen zu überwachen. Mit massiven Infrastruktur-Störungen folgte schließlich 2022 die Verhaftung von über einem Dutzend REvil-Mitgliedern durch russische Behörden — allerdings wurden diese 2025 nach Verbüßung von Strafen wegen betrügerischer Kartenzahlungen freigelas sen.
Es ist unklar, ob Shchukin und Kravchuk sich nach REvils Niedergang 2021 anderen Ransomware-Operationen anschlossen. Das BKA geht davon aus, dass sich beide derzeit in Russland aufhalten. Die Behörde ruft die Öffentlichkeit auf, Informationen zu Aufenthaltsort und Tätigkeit zu melden. Beide wurden auch in das europäische Fahndungsportal aufgenommen. Zur Unterstützung der Fahndung veröffentlichte die Polizei mehrere Bilder, darunter Tätowierungsfotos.