Deutsche Polizei veröffentlicht Klarnamen des russischen Anführers der Ransomware-Gruppen GandCrab und REvil

 (krebsonsecurity.com)
1 Punkte von GN⁺ 22 일 전 | 1 Kommentare | Auf WhatsApp teilen
  • Das deutsche Bundeskriminalamt hat den russischen Staatsbürger Daniil Maksimovich Shchukin als Anführer der Ransomware-Gruppen GandCrab und REvil benannt und seinen Klarnamen veröffentlicht
  • Shchukin soll unter dem Nickname UNKN(UNKNOWN) aktiv gewesen sein und gilt als Schlüsselfigur bei der Einführung der doppelten Erpressung mit zwei Zahlungsforderungen an Opfer
  • GandCrab tauchte 2018 auf, erpresste über ein Affiliate-Modell rund 2 Milliarden US-Dollar und stellte danach den Betrieb ein; anschließend trat REvil auf den Plan und nahm große Unternehmen ins Visier
  • Das US-Justizministerium beantragte die Beschlagnahmung von Kryptowährungskonten auf Shchukins Namen, während die deutschen Behörden mitteilten, dass er sich wahrscheinlich im russischen Krasnodar aufhält
  • REvil entwickelte sich zu einer industrialisierten kriminellen Struktur mit ausgelagerten Aufgaben und einem Unterökosystem, brach jedoch nach dem Kaseya-Hack 2021 infolge des Eingreifens des FBI zusammen

Deutschland veröffentlicht den Klarnamen von „UNKN“, dem Anführer der russischen Ransomware-Gruppen GandCrab und REvil

  • Das Bundeskriminalamt (BKA) hat den russischen Staatsbürger Daniil Maksimovich Shchukin als Anführer der Ransomware-Gruppen GandCrab und REvil identifiziert
    • Shchukin wird beschuldigt, zwischen 2019 und 2021 in Deutschland mindestens 130 Fälle von Computersabotage und Erpressung gesteuert zu haben
    • Gemeinsam mit dem ebenfalls russischen Staatsbürger Anatoly Sergeevitsch Kravchuk soll er rund 2 Millionen Euro erpresst und einen wirtschaftlichen Gesamtschaden von mehr als 35 Millionen Euro verursacht haben
  • Das BKA erklärte, Shchukin habe unter dem Nickname „UNKN“ (oder UNKNOWN) agiert und sei eine Schlüsselfigur bei der Einführung der doppelten Erpressung (double extortion) gewesen
    • Opfer mussten einmal zahlen, um den Entschlüsselungsschlüssel zu erhalten, und ein weiteres Mal, um die Veröffentlichung der gestohlenen Daten zu verhindern
    • GandCrab und REvil gelten als weltweit aktive große Ransomware-Netzwerke

Entstehung und Entwicklung von GandCrab und REvil

  • Die GandCrab-Ransomware tauchte im Januar 2018 auf und betrieb ein Affiliate-Modell, bei dem Hacker bereits für das Eindringen in Unternehmenskonten am Gewinn beteiligt wurden
    • Das Entwicklerteam veröffentlichte fünf große Versionen und verbesserte die Funktionen fortlaufend, um Gegenmaßnahmen von Sicherheitsfirmen zu umgehen
    • Im Mai 2019 erklärte die Gruppe nach Erpressungen von rund 2 Milliarden US-Dollar das Ende ihrer Aktivitäten und hinterließ die Botschaft, dass man „auch mit bösen Taten sicher reich werden kann“
  • Unmittelbar nach dem Ende von GandCrab erschien die REvil-Ransomware
    • Ein Nutzer namens „UNKNOWN“ hinterlegte in einem russischen kriminellen Forum 1 Million US-Dollar, um Vertrauen aufzubauen; dies wird als Neuformierung von GandCrab angesehen
    • REvil entwickelte sich zu einer „Big-Game-Hunting“-Strategie, bei der große Unternehmen und versicherte Organisationen als Hauptziele mit enormen Lösegeldforderungen ins Visier genommen wurden

Shchukins Identität und internationale Ermittlungen

  • Das US-Justizministerium beantragte im Februar 2023 die Beschlagnahmung von Kryptowährungskonten mit Erlösen aus REvil-Aktivitäten und nannte dabei ausdrücklich Shchukins Namen
    • In der betreffenden Wallet befanden sich Kryptowährungen im Wert von rund 317.000 US-Dollar
  • Das BKA teilte mit, Shchukin stamme aus Krasnodar in Russland und halte sich mit hoher Wahrscheinlichkeit weiterhin dort auf
    • Wörtlich hieß es, ein „Aufenthalt im Ausland ist möglich, ebenso können Reisetätigkeiten nicht ausgeschlossen werden“

REvils Organisation und industrialisierte kriminelle Struktur

  • Laut dem Buch The Ransomware Hunting Team von Renee Dudley und Daniel Golden maximierte REvil seine Effizienz wie ein legales Unternehmen durch Outsourcing und Reinvestment
    • Entwickler konzentrierten sich auf die Qualitätsverbesserung, während externe Dienstleister Webdesign, Logistik und Verschlüsselungsdienste übernahmen
    • Verschiedene Unterökosysteme wie „Crypter“-Anbieter, „Initial Access Broker“ und Bitcoin-Geldwäschedienste entstanden und erweiterten die kriminelle Industrie

Wichtige Vorfälle und Niedergang

  • Am Wochenende des 4. Juli 2021 hackte REvil den US-IT-Management-Anbieter Kaseya und traf damit mehr als 1.500 Kundenunternehmen
    • Das FBI erklärte, es sei bereits in REvils Server eingedrungen, habe aber nicht sofort eingreifen können, um die Operation nicht auffliegen zu lassen
    • Nachdem das FBI später einen kostenlosen Entschlüsselungsschlüssel veröffentlicht hatte, brach REvil faktisch zusammen

Zusätzliche Hinweise und Identitätsbestätigung

  • Eine Forenanalyse des Cyber-Intelligence-Unternehmens Intel 471 ergab, dass Shchukin früher unter dem Namen „Ger0in“ Botnet-Betrieb und Malware-Installationsdienste angeboten haben soll
    • Ger0in war 2010 bis 2011 aktiv; eine direkte Verbindung zu UNKNOWN wurde jedoch nicht bestätigt
  • Über die Bildvergleichsseite Pimeyes wurde eine Übereinstimmung festgestellt: Die vom BKA veröffentlichten Fotos und Aufnahmen von einer Geburtstagsfeier 2023 in Krasnodar zeigen offenbar dieselbe Uhr
  • Auf dem deutschen CCC (Chaos Communication Congress) im Jahr 2023 wurde zudem eine englisch synchronisierte Audioaufnahme veröffentlicht, in der Shchukin als REvil-Anführer erwähnt wird

Verwandte Beiträge

1 Kommentare

 
GN⁺ 22 일 전
Hacker-News-Kommentare

  • Ich habe gehört, dass Hacker aus dem CCC-Umfeld die Identität einer dieser Personen schon vor einigen Jahren aufgedeckt hatten
    Wie auch im Update erwähnt, wurde das im CCC-Vortragsvideo ebenfalls behandelt
    Ich frage mich, ob die Ermittlungsbehörden das selbst herausgefunden haben oder ob sie Hacker um Hilfe gebeten haben, die damals bereits an der Verteidigung beteiligt waren

    • Ich bin in dem Thema nicht tief drin, aber im Allgemeinen sind die Beziehungen zwischen CCC und BND (deutscher Nachrichtendienst) nicht gerade herzlich
      Besonders seit der Affäre um die Überwachung deutscher Bürger durch den BND gilt das umso mehr, und historisch gab es ohnehin Konflikte
      Wenn ein Hacker also mit dem BND kooperiert, riskiert er, unter anderen Hackern Vertrauen zu verlieren
    • Linus Neumann hat sich kürzlich in einer Episode des Logbuch-Netzpolitik-Podcasts ebenfalls gewundert, warum das gerade jetzt passiert
      Auch sie sagten, dass sie nie offiziell kontaktiert wurden

  • Spiegel hat kürzlich einen Videobericht zu dem Fall veröffentlicht

  • Ich frage mich, ob es wirklich Doxing ist, jemanden auf eine Liste der meistgesuchten Personen zu setzen
    In der offiziellen Beschreibung steht, dass „Daniil Maksimovich Shchukin wegen Ransomware-Erpressung gegen Unternehmen und öffentliche Einrichtungen international gesucht wird“

    • Ich finde diese Formulierung unangenehm. Doxing hat ursprünglich eine negative Konnotation und wird verwendet, wenn persönliche Informationen einer unschuldigen Person veröffentlicht werden
      Hier wären „accuse“ oder „unmask“ meiner Meinung nach die treffenderen Ausdrücke
    • Mit dem Sprachwandel wird „Doxing“ heute anscheinend einfach für die Veröffentlichung persönlicher Informationen ohne Zustimmung verwendet
    • Es heißt auch, dass die USA ihn bereits vor 3 Jahren identifiziert haben
    • Ich finde diese Logik schwer nachvollziehbar. Das klingt, als würde man die DSGVO etwas zu ernst nehmen (Scherz)
    • Wenn man einfach nur „UNKN“ auf die Fahndungsliste gesetzt hätte, wäre es kein Doxing, aber weil „UNKN“ mit einem echten Namen verknüpft wurde, kann man es als Doxing ansehen

  • Ich verstehe nicht, warum „den Namen eines anonymen Erpressers veröffentlicht“ gleich Doxing sein soll
    Der Artikel enthält weder Adresse noch Familieninformationen noch Kontaktdaten, sondern nennt lediglich eine „zur Festnahme gesuchte Person“

    • Die Bedeutung von „Doxing“ scheint sich inzwischen auf „Veröffentlichung von Informationen ohne Zustimmung der betroffenen Person“ ausgeweitet zu haben
      Das Problem ist, dass Menschen in seinem Umfeld ihn dadurch als Kriminellen oder reichen Nachbarn wahrnehmen könnten, was Diebstahl- oder Erpressungsversuche nach sich ziehen kann
      Es gab tatsächlich schon Fälle, in denen jemand sich sogar als Geheimdienst ausgab, um einen gedoxten Cyberkriminellen zu erpressen
    • Außerdem wirkt schon die Aussage „Deutschland will ihn“ an sich nicht besonders einschüchternd

  • Die Leute scheinen sich zu sehr an der Bedeutung des Wortes „Doxing“ festzubeißen
    In anonymen Hacking-Communities gilt schon das Offenlegen der OPSEC (operative Sicherheit) einer Person als Doxing
    Manche setzen dabei auf Full Disclosure und veröffentlichen jeden OPSEC-Fehler sofort
    Denn sonst kann jemand diese Informationen sammeln und später zur Erpressung verwenden

  • Ich denke, „doxxes“ ist die richtige Schreibweise. „doxes“ klingt von der Aussprache her seltsam, fast wie „Dok-sis“
    Noch vor ein paar Jahrzehnten hätte so eine Schlagzeile selbst wie ein obskures Wortspiel gewirkt

  • Ich weiß nicht, seit wann die Aufnahme in eine offizielle Fahndungsliste als Doxing gilt
    Wenn jemand möchte, dass die Informationen wieder verschwinden, muss er nur vor Gericht erscheinen