líderes ransomware REvil GandCrab: La Policía Federal de Alemania (Bundeskriminalamt o BKA) ha logrado un hito significativo en la lucha contra el cibercrimen al identificar a los dos presuntos líderes de las peligrosas operaciones de ransomware GandCrab y REvil, que causaron estragos entre 2019 y 2021. Según la investigación, los ciudadanos rusos Daniil Maksimovich Shchukin (31 años) y Anatoly Sergeevitsch Kravchuk (43 años) habrían dirigido ambos grupos durante ese periodo.
¿Qué es líderes ransomware REvil GandCrab y por qué es relevante?
Puntos clave de la investigación alemana
🔍 Anticipa las amenazas antes de que lleguen a tu organización. En Iberia Intelligence aplicamos ciberinteligencia avanzada: seguimiento de actores de amenaza, análisis de TTPs, alertas tempranas y vigilancia en fuentes abiertas y cerradas adaptada a tu sector y geografía.
- Identificación confirmada: La BKA atribuye formalmente el liderazgo de GandCrab y REvil a Daniil Shchukin (alias UNKN) y Anatoly Kravchuk.
- Impacto en Alemania: Ambos están vinculados a al menos 130 casos de extorsión en el país, con daños superiores a 40 millones de dólares.
- Modelo de negocio criminal: GandCrab sentó las bases del modelo de afiliados que REvil perfeccionaría, incluyendo subastas de datos robados.
- Estado actual: Se cree que ambos individuos se encuentran en Rusia y figuran en el portal de ‘Más Buscados’ de la UE.
- Legado persistente: Las tácticas desarrolladas por estos grupos siguen influyendo en el ecosistema del ransomware actual.
El perfil de los cabecillas y su modus operandi
El análisis de la BKA detalla que Daniil Shchukin operaba bajo el seudónimo de UNKN (o UNKNOWN) en foros clandestinos de cibercrimen, actuando como portavoz y representante público de la operación ransomware. Anatoly Kravchuk, por su parte, habría desempeñado un papel de liderazgo operativo complementario. Juntos, coordinaron una campaña que afectó específicamente a empresas alemanas, de las cuales al menos 25 acabaron pagando un rescate total de 2,2 millones de dólares. líderes ransomware REvil GandCrab es clave para entender el alcance de esta amenaza.
Cómo operaban los grupos de ransomware liderados por Shchukin y Kravchuk
La estrategia seguía el modelo de ransomware-as-a-service (RaaS), donde los desarrolladores (los líderes) proporcionaban el malware y la infraestructura a afiliados, quienes ejecutaban los ataques a cambio de un porcentaje del rescate. Esta estructura descentralizada complicaba enormemente su rastreo. GandCrab, que inició sus actividades a principios de 2018, se retiró espectacularmente en junio de 2019, alegando ganancias astronómicas. Sin embargo, el vacío fue inmediatamente ocupado por REvil (también conocido como Sodinokibi), formado por afiliados y operadores del propio GandCrab que replicaron y amplificaron el modelo criminal.
La evolución de GandCrab a REvil y sus ataques más sonados
La transición entre GandCrab y REvil no fue una simple sustitución, sino una evolución táctica. Mientras GandCrab popularizó el modelo de afiliados, REvil lo llevó a un nuevo nivel de sofisticación y agresividad. Introdujo los llamados ‘sitios de filtración’ (leak sites), donde amenazaban con publicar los datos robados si la víctima no pagaba, y llegó a organizar subastas públicas de la información confidencial sustraída.
El ataque a la cadena de suministro de Kaseya: el principio del fin
El punto de inflexión para REvil fue el ataque de cadena de suministro contra el software de gestión Kaseya en julio de 2021. Este incidente masivo, que afectó a unos 1.500 clientes indirectos, atrajo una atención sin precedentes de las agencias de seguridad internacionales. Durante una pausa autoimpuesta de dos meses tras el ataque, las fuerzas del orden lograron infiltrarse en sus servidores y monitorizar sus operaciones. Esto, sumado a posteriores desmantelamientos de infraestructura y detenciones en Rusia a principios de 2022, condujo a la desaparición efectiva de REvil.
Las implicaciones para la ciberinteligencia y la justicia internacional
La identificación por parte de la BKA supone un éxito de inteligencia crucial, pero también subraya los límites de la acción judicial en un contexto geopolítico complejo. Aunque Shchukin y Kravchuk figuran ahora en el portal de ‘Más Buscados’ de la UE y las autoridades alemanas han publicado incluso fotografías de sus tatuajes para facilitar su localización, su presunta ubicación en Rusia plantea serios obstáculos para una extradición. Este caso ejemplifica el desafío persistente de llevar ante la justicia a los cerebros del cibercrimen transnacional cuando operan desde ciertas jurisdicciones.
Queda por ver si estos individuos han reiniciado sus actividades en otras operaciones de ransomware tras la caída de REvil. No obstante, la identificación pública de sus nombres y alias supone un golpe a su anonimato, dificultando sus movimientos futuros y ofreciendo a las víctimas una medida de responsabilidad, aunque sea simbólica por ahora. Este avance recuerda que, pese a la naturaleza aparentemente anónima de internet, los rastros digitales y el trabajo persistente de las unidades de ciberdelincuencia pueden, con el tiempo, poner nombre y apellidos a quienes se esconden tras las pantallas.
Recursos y fuentes oficiales:
Convierte la inteligencia de amenazas en ventaja estratégica
Nuestro equipo en Iberia Intelligence ofrece servicios de Ciberinteligencia para empresas e instituciones: monitorización de actores, perfiles de adversarios, alertas personalizadas e informes ejecutivos accionables.