Cómo la policía alemana identificó a dos sospechosos clave de las bandas de ransomware REvil y GandCrab

Cómo la policía alemana identificó a dos sospechosos clave de las bandas de ransomware REvil y GandCrab

por

¿Qué es identificación sospechosos REvil GandCrab y por qué es relevante?

Puntos clave de la investigación

identificación sospechosos REvil GandCrab: 🔍 Anticipa las amenazas antes de que lleguen a tu organización. En Iberia Intelligence aplicamos ciberinteligencia avanzada: seguimiento de actores de amenaza, análisis de TTPs, alertas tempranas y vigilancia en fuentes abiertas y cerradas adaptada a tu sector y geografía.

  • La Oficina Federal de Policía Criminal de Alemania (BKA) identificó a Daniil Shchukin (31 años) y Anatoly Kravchuk (43 años).
  • Ambos están acusados de estar detrás de una veintena de ataques de ransomware que generaron 2,3 millones de dólares en rescates.
  • El daño económico total estimado supera los 40 millones de dólares, afectando a empresas e instituciones públicas.
  • Se cree que los sospechosos se encuentran actualmente en Rusia, fuera del alcance de las autoridades occidentales.
  • La investigación destaca la persistencia del modelo Ransomware-as-a-Service (RaaS) y los vínculos con cibercrimen ruso.

identificación sospechosos REvil GandCrab: La identificación de sospechosos de REvil y GandCrab por parte de las autoridades alemanas marca un hito significativo en la lucha contra el cibercrimen transnacional. Según un informe de la Oficina Federal de Policía Criminal (BKA) difundido la semana pasada y recogido por medios especializados, dos figuras clave detrás de estas temibles operaciones de ransomware han sido desenmascaradas.

Los perfiles de los presuntos operadores de ransomware

Los investigadores alemanes han puesto nombre y apellidos a dos individuos acusados de desempeñar roles centrales en las bandas GandCrab y, posteriormente, REvil (también conocida como Sodinokibi). Se trata de Daniil Shchukin, un ciudadano ruso de 31 años que operaba bajo el alias UNKN (UNKNOWN), y Anatoly Kravchuk, de 43 años, nacido en Ucrania pero con ciudadanía rusa, señalado como desarrollador para el grupo. identificación sospechosos REvil GandCrab es clave para entender el alcance de esta amenaza.

Representación de un servidor bajo ataque de ransomware, con líneas de código cifrado.
Representación de un servidor bajo ataque de ransomware, con líneas de código cifrado. — Foto: Alexandre Debiève vía Unsplash

El informe del BKA los vincula directamente con aproximadamente dos docenas de ataques de ransomware dirigidos a empresas, instituciones públicas y otras organizaciones. Estos ciberataques habrían reportado a los delincuentes cerca de 2,3 millones de dólares en pagos de extorsión, pero el coste real, calculado en daños económicos y operativos, supera de manera abrumadora esa cifra, alcanzando los 40 millones de dólares.

El papel central de Daniil Shchukin en el ecosistema RaaS

Los analistas de ciberinteligencia apuntan a que Shchukin no era un mero afiliado, sino una pieza fundamental en la gestión de las operaciones. Según las pesquisas, habría tenido un papel de liderazgo en la transición de GandCrab a REvil, un grupo que escaló rápidamente en sofisticación y audacia. En una entrevista previa, el propio Shchukin ofreció una visión de su trayectoria, describiendo una infancia de extrema pobreza que contrasta con su posterior estatus como millonario gracias al cibercrimen.

De GandCrab a REvil: la evolución de una amenaza persistente

El grupo GandCrab emergió a principios de 2018 bajo el modelo de Ransomware-as-a-Service (RaaS). Su vector de entrada inicial fue el correo electrónico no deseado (spam) con archivos adjuntos maliciosos. Sin embargo, su operación mutó y dio lugar a REvil, que adoptó tácticas más agresivas y se centró en objetivos de mayor perfil y capacidad económica.

REvil se distinguió por emplear una táctica de doble extorsión: además de cifrar los sistemas de la víctima, los atacantes robaban volúmenes masivos de datos confidenciales. La amenaza de filtrar esta información online si no se pagaba el rescate aumentaba exponencialmente la presión sobre las organizaciones afectadas. Entre sus víctimas más sonadas se encuentran el bufete de abogados de Lady Gaga, la organización del entonces presidente de EE.UU. Donald Trump y la empresa de software Kaseya, cuyo ataque tuvo un efecto en cadena sobre miles de sus clientes.

Reunión de fuerzas de seguridad internacionales en una sala de situación, mostrando colaboración.
Reunión de fuerzas de seguridad internacionales en una sala de situación, mostrando colaboración. — Foto: Bernie Almanzar vía Unsplash

Cómo funcionaba el modelo de negocio de REvil y GandCrab

Ambos grupos operaban bajo el esquema de Ransomware-as-a-Service. En este modelo, los desarrolladores (como los ahora identificados) crean y mantienen el software de ransomware malicioso. Este «kit» se alquila luego a afiliados, quienes son los responsables de lanzar las campañas de infección. Las ganancias del rescate se reparten entre desarrolladores y afiliados, creando un ecosistema criminal descentralizado y escalable que dificulta su desarticulación.

Los límites de la justicia internacional y el contexto geopolítico

Un dato crucial, y que subraya la complejidad de estas investigaciones, es que ambos sospechosos se encontrarían actualmente en Rusia. Las autoridades alemanas han emitido órdenes de búsqueda internacional, pero la cooperación en este ámbito sigue siendo un escollo. Esta situación refleja un patrón persistente: muchos presuntos miembros de redes de cibercrimen con base en Rusia permanecen fuera del alcance efectivo de la justicia occidental.

En 2022, el Servicio Federal de Seguridad ruso (FSB) anunció el arresto de 14 presuntos miembros de REvil. No obstante, los procesos judiciales han avanzado con lentitud y opacidad. Solo ocho de los detenidos han comparecido ante un tribunal en Moscú, y las vistas han sido repetidamente pospuestas, generando escepticismo en la comunidad de inteligencia occidental sobre la voluntad real de perseguir estos delitos.

Concepto de fuga de datos: documentos digitales escapando de un portátil roto.
Concepto de fuga de datos: documentos digitales escapando de un portátil roto. — Foto: Sasun Bughdaryan vía Unsplash

El esfuerzo continuo de Europa contra el ransomware ruso

La identificación de sospechosos de REvil y GandCrab no es un caso aislado, sino parte de una ofensiva más amplia de las fuerzas de seguridad europeas contra operadores de ransomware vinculados a redes de ciberdelincuencia rusas. A principios de 2026, las mismas autoridades alemanas identificaron a dos sospechosos ucranianos vinculados al grupo Black Basta (asociado a Rusia) y colocaron a su supuesto líder ruso en la lista de buscados internacionales.

Estas acciones demuestran un compromiso creciente por parte de Europa para desmantelar no solo los ataques, sino la infraestructura humana y financiera que los sustenta. La ciberinteligencia y la colaboración policial transfronteriza se perfilan como herramientas indispensables para contrarrestar un fenómeno que, como vemos, tiene profundas ramificaciones económicas y geopolíticas. El caso de Shchukin y Kravchuk sirve como recordatorio de que, tras el código malicioso, siempre hay individuos cuyas identidades y patrones de comportamiento pueden convertirse en el punto más vulnerable de toda la operación criminal.

Artículos relacionados

Recursos y fuentes oficiales:

Convierte la inteligencia de amenazas en ventaja estratégica

Nuestro equipo en Iberia Intelligence ofrece servicios de Ciberinteligencia para empresas e instituciones: monitorización de actores, perfiles de adversarios, alertas personalizadas e informes ejecutivos accionables.

→ Solicita información sin compromiso

Deja un comentario