Identificati i boss di REvil e GandCrab: la polizia tedesca svela i volti del ransomware

Il Federal Criminal Police Office tedesco (BKA) ha ufficialmente rimosso il velo di anonimato che proteggeva i leader di due delle operazioni ransomware più aggressive della storia recente. Le indagini, focalizzate sul periodo compreso tra l'inizio del 2019 e il luglio 2021, hanno portato all'identificazione di due cittadini russi: il trentunenne Daniil Maksimovich Shchukin e il quarantatreenne Anatoly Sergeevitsch Kravchuk.

Kravchuk, Anatoly Sergeevitsch - Shchukin, Daniil Maksimovich

I due sono accusati di aver orchestrato le attività criminali di GandCrab e del suo diretto successore, REvil (noto anche come Sodinokibi), trasformando l'estorsione informatica in un'industria da milioni di dollari. Shchukin, in particolare, è stato identificato come il volto dietro lo pseudonimo UNKN (o UNKNOWN). Per anni, questa figura ha operato come portavoce ufficiale del gruppo sui principali forum del cybercrimine, gestendo le pubbliche relazioni, il reclutamento di nuovi affiliati e la pubblicazione dei dati rubati per forzare il pagamento dei riscatti.

Identificati i vertici di GandCrab e REvil: l'inchiesta tedesca arriva alla svolta

L'identificazione di UNKN rappresenta un punto di svolta fondamentale, poiché Shchukin non era solo un amministratore tecnico, ma il perno comunicativo che ha permesso a REvil di acquisire una reputazione di spietata efficienza nel sottobosco del deep web.

L'attività dei due sospettati ha colpito con precisione chirurgica il territorio tedesco. Secondo i dati diffusi dal BKA, Shchukin e Kravchuk sono responsabili di almeno 130 casi di estorsione mirati specificamente a aziende e istituzioni in Germania. Sebbene solo 25 vittime abbiano effettivamente ceduto al ricatto versando un totale di 2,2 milioni di dollari, il danno economico reale è esponenzialmente più alto. Le stime ufficiali parlano di perdite finanziarie superiori ai 40 milioni di dollari, considerando i costi di ripristino dei sistemi, la perdita di proprietà intellettuale e il fermo produttivo delle realtà colpite.

L'ascesa di GandCrab all'inizio del 2018 aveva già segnato un cambio di passo grazie all'adozione massiccia del modello Ransomware-as-a-Service (RaaS). Quando il leader originario annunciò il ritiro nel giugno 2019, dichiarando di aver accumulato una fortuna tale da potersi dedicare a business legali, l'infrastruttura non è stata smantellata. È stata invece riorganizzata sotto il marchio REvil, integrando tattiche ancora più aggressive come la "doppia estorsione". Shchukin e Kravchuk hanno saputo capitalizzare l'esperienza degli affiliati di GandCrab, scalando le operazioni fino a colpire giganti come Acer e orchestrando l'attacco supply-chain a Kaseya, che ha paralizzato circa 1.500 aziende in tutto il mondo.

L'efficacia dell'azione di contrasto tedesca si scontra tuttavia con una realtà geopolitica complessa. Nonostante l'emissione di mandati di cattura internazionali e l'inserimento dei due russi nel portale EU Most Wanted, Shchukin e Kravchuk si trovano attualmente in Russia, paese che non ha intenzione di procedere all'estradizione. E inoltre da sottolineare che altri membri della banda arrestati dalle autorità russe nel gennaio 2022, dopo essere stati condannati per reati minori legati alle frodi con carte di credito, sono stati rilasciati nel corso del 2025 per fine pena, tornando potenzialmente operativi nel crimine informatico.

Per contrastare questa impunità di fatto, il BKA ha intrapreso una strategia di "pressione pubblica", diffondendo immagini segnaletiche e fotografie dettagliate di tatuaggi appartenenti ai sospettati. L'obiettivo è rendere Shchukin e Kravchuk dei paria internazionali, impedendo loro qualunque spostamento al di fuori dei confini russi e rendendo ostica ogni loro interazione finanziaria. La polizia tedesca ha ribadito che la caccia rimane aperta, invitando chiunque abbia informazioni sulla loro posizione a collaborare, nella speranza di portarli davanti a un tribunale europeo.