Niemcy ujawniają tożsamość „UNKN”, lidera grup ransomware REvil i GandCrab

Przez lata branża cyberbezpieczeństwa traktowała postać ukrywającą się pod pseudonimem UNKN (znaną również jako UNKNOWN) jako niemal mitycznego architekta cyfrowego chaosu. Jako lider niesławnych rosyjskich grup ransomware, takich jak GandCrab oraz REvil, UNKN stał za zuchwałymi atakami, które paraliżowały globalne korporacje i instytucje publiczne. Dziś ta anonimowość legła w gruzach. Niemieckie służby śledcze dokonały przełomu, publicznie demaskując człowieka stojącego za tymi operacjami. To nie jest już tylko anonimowy użytkownik mrocznych forów, lecz konkretna osoba z imieniem, nazwiskiem i historią, która właśnie stała się celem międzynarodowego wymiaru sprawiedliwości.

Niemiecka Federalna Policja Kryminalna (Bundeskriminalamt, w skrócie BKA) oficjalnie ogłosiła, że za pseudonimem UNKN stoi 31-letni Rosjanin, Daniil Maksimovich Shchukin. To on miał kierować obiema grupami przestępczymi, które zrewolucjonizowały model biznesowy cyberprzestępczości, wprowadzając schemat Ransomware-as-a-Service (RaaS). Dzięki temu modelowi, grupy takie jak REvil nie tylko same atakowały cele, ale udostępniały swoje złośliwe oprogramowanie partnerom w zamian za procent od wymuszonych okupów, co doprowadziło do bezprecedensowej skali infekcji na całym świecie.

Architekt cyfrowego wymuszenia i jego wspólnik

Śledztwo prowadzone przez BKA rzuca światło na skalę działalności Shchukina i jego najbliższych współpracowników. Obok lidera wymieniono również 43-letniego Anatoly’ego Sergeevitscha Kravchuka. Według ustaleń śledczych, ten duet odegrał kluczową rolę w przeprowadzeniu co najmniej 130 aktów sabotażu komputerowego i wymuszeń w samym tylko okresie między 2019 a 2021 rokiem. Choć ich działalność miała charakter globalny, niemieckie służby skupiły się na udokumentowaniu strat poniesionych przez podmioty operujące na ich terytorium, co pozwoliło na postawienie konkretnych zarzutów i wydanie listów gończych.

Liczby przedstawione przez BKA są porażające, choć stanowią prawdopodobnie tylko wierzchołek góry lodowej. Shchukin i Kravchuk mieli bezpośrednio wymusić blisko 2 miliony euro w ramach zaledwie dwóch tuzinów ataków. Jednak to nie kwota okupu jest najbardziej dotkliwa. Całkowite szkody gospodarcze wywołane ich działalnością w tych konkretnych przypadkach oszacowano na ponad 35 milionów euro. Koszty te obejmują przestoje w produkcji, procesy odzyskiwania danych, audyty bezpieczeństwa oraz utratę zaufania klientów zaatakowanych firm.

Grupa GandCrab, którą Shchukin zarządzał w pierwszej fazie swojej "kariery", była pionierem w masowym wykorzystywaniu luk w zabezpieczeniach systemów Windows. Po jej oficjalnym "zamknięciu" w 2019 roku, struktury te płynnie przeszły w formację REvil (Sodinokibi), która stała się jeszcze bardziej agresywna. REvil zasłynął z techniki podwójnego wymuszania: nie tylko szyfrowano dane ofiary, ale także grożono ich upublicznieniem na specjalnych blogach, jeśli okup nie zostanie wpłacony. To właśnie UNKN był osobą, która często występowała jako rzecznik grupy na rosyjskojęzycznych forach hakerskich, budując aurę nieuchwytności i profesjonalizmu.

Precyzyjne uderzenie w strukturę dowodzenia

Upublicznienie tożsamości Shchukina to potężny cios w morale ekosystemu ransomware. Strategia "doxingu" stosowana przez organy ścigania ma na celu nie tylko ułatwienie aresztowania, ale przede wszystkim spalenie mostów operacyjnych przestępcy. Gdy twarz i dane osobowe lidera stają się publiczne, traci on możliwość swobodnego przemieszczania się, korzystania z legalnej infrastruktury finansowej czy nawet bezpiecznego komunikowania się ze swoimi współpracownikami, którzy mogą zacząć obawiać się, że są następni w kolejce do dekonspiracji.

Operacja BKA pokazuje również ewolucję metod śledczych. Rozpracowanie UNKN wymagało skomplikowanej analizy przepływów kryptowalut, monitorowania metadanych pozostawianych w kodzie złośliwego oprogramowania oraz żmudnej pracy wywiadowczej wewnątrz zamkniętych społeczności cyberprzestępczych. Fakt, że niemieckie służby zdecydowały się na tak otwarty komunikat, sugeruje, że dysponują one niepodważalnymi dowodami łączącymi Shchukina z konkretnymi atakami, co w świecie cyfrowym, pełnym fałszywych tropów i serwerów proxy, jest osiągnięciem rzadkim.

Warto zwrócić uwagę na specyfikację techniczną działań grup GandCrab i REvil, które pod wodzą Shchukina wykorzystywały m.in.:

• Exploit kity do automatycznego infekowania użytkowników przeglądających zainfekowane strony internetowe.
• Ataki na łańcuch dostaw (supply chain attacks), czego najgłośniejszym przykładem był atak na firmę Kaseya.
• Zaawansowane techniki zaciemniania kodu (obfuscation), które przez długi czas pozwalały omijać tradycyjne systemy antywirusowe.
• Wykorzystanie protokołu RDP (Remote Desktop Protocol) do przejmowania kontroli nad serwerami firmowymi.

Koniec ery bezkarności w cieniu Rosji?

Choć Daniil Maksimovich Shchukin przebywa prawdopodobnie na terytorium Federacji Rosyjskiej, co utrudnia jego fizyczne zatrzymanie, status "poszukiwanego przez Interpol" drastycznie zmienia jego sytuację. Historia pokazuje, że cyberprzestępcy tej rangi często wpadają podczas wakacji w krajach utrzymujących umowy ekstradycyjne z Zachodem lub stają się kartą przetargową w większych grach geopolitycznych. Dla Pixelift i obserwatorów sektora AI oraz technologii kreatywnych, ta sprawa jest przypomnieniem, że za najbardziej zaawansowanymi algorytmami niszczącymi dane stoją ludzie, których można zidentyfikować.

Demaskacja UNKN to sygnał dla całej branży: czas absolutnej anonimowości w sieci dobiega końca. Nawet najbardziej wyrafinowane metody ukrywania tożsamości, od mikserów kryptowalut po wielowarstwowe sieci VPN, pozostawiają ślady, które przy odpowiedniej determinacji służb i współpracy międzynarodowej, tworzą kompletny obraz sprawcy. Shchukin, który przez lata budował imperium oparte na strachu i cyfrowym haraczu, stał się teraz symbolem skuteczności nowoczesnej kryminalistyki cyfrowej. Jego przypadek definiuje nową rzeczywistość, w której cyfrowy ślad staje się cyfrowym wyrokiem, niezależnie od tego, jak głęboko w sieci dany przestępca próbuje się ukryć.