Đức công bố danh tính thủ lĩnh đứng sau các băng nhóm ransomware REvil và GandCrab
Cơ quan cảnh sát Đức (BKA) đã xác định được danh tính thật của Daniil Shchukin, kẻ đứng đầu hai băng nhóm tống tiền khét tiếng GandCrab và REvil với biệt danh "UNKN". Shchukin bị cáo buộc gây ra thiệt hại hơn 35 triệu euro tại Đức thông qua mô hình tống tiền kép. Hiện đối tượng được cho là đang ẩn náu tại Nga.
Cảnh sát liên bang Đức (BKA) vừa công bố danh tính của một hacker đầy bí ẩn được cho là thủ lĩnh đứng sau hai trong số các băng nhóm mã độc tống tiền (ransomware) nguy hiểm nhất thế giới: GandCrab và REvil. Theo thông báo chính thức, Daniil Maksimovich Shchukin, công dân Nga 31 tuổi, chính là nhân vật ẩn danh sử dụng biệt danh "UNKN" (hay "UNKNOWN"), người đã điều hành mạng lưới tội phạm công nghệ cao này.
Danh tính của Daniil Shchukin và đồng bọn
BKA cho biết Shchukin cùng một đồng phạm khác là Anatoly Sergeevitsch Kravchuk (43 tuổi) đã thực hiện hàng chục cuộc tấn công mạng vào các nạn nhân tại Đức trong giai đoạn 2019-2021. Các đối tượng bị cáo buộc đã tống tiền gần 2 triệu euro và gây ra thiệt hại kinh tế tổng cộng vượt quá 35 triệu euro.
Mô hình tống tiền kép tiên phong
Theo điều tra, Shchukin đóng vai trò chủ chốt trong việc điều hành GandCrab và REvil, những nhóm đi tiên phong trong phương thức "double extortion" (tống tiền kép). Thay vì chỉ mã hóa dữ liệu và đòi tiền chuộc để trả lại khóa giải mã, nhóm này còn đòi thêm một khoản tiền thứ hai để ngăn chặn việc công bố dữ liệu bị đánh cắp lên mạng.
GandCrab, ra đời vào tháng 1 năm 2018, nhanh chóng trở nên nổi tiếng với mô hình "affiliate program" (chương trình liên kết), nơi họ thuê các hacker khác để xâm nhập hệ thống và chia sẻ doanh thu. GandCrab đã phát triển qua năm phiên bản lớn, liên tục nâng cấp để qua mặt các phần mềm diệt病毒 trước khi tuyên bố giải tán vào tháng 5 năm 2019 một cách ngạo nghễ. Trong thông báo chia tay trên diễn đàn tội phạm, đại diện GandCrab từng viết: "Chúng ta là bằng chứng sống cho việc làm điều ác mà không phải chịu hậu quả. Chúng ta đã chứng minh rằng có thể kiếm được cả đời tiền bạc chỉ trong một năm."
Sự trỗi dậy của REvil
Ngay sau khi GandCrab "nghỉ hưu", một nhóm mới có tên REvil xuất hiện với thủ lĩnh là UNKNOWN. Nhiều chuyên gia an ninh mạng tin rằng đây thực chất là sự tái cấu trúc của GandCrab. UNKNOWN từng khoe khoang trong một cuộc phỏng vấn rằng anh ta đã từng nghèo khó, đi nhặt rác và hút tàn thuốc lá khi còn nhỏ, nhưng giờ đây đã trở thành triệu phú.
Mã độc tống tiền REvil gây thiệt hại lớn
REvil nhanh chóng trở thành một "cỗ máy săn mồi lớn" (big-game-hunting), nhắm vào các tổ chức có doanh thu trên 100 triệu USD/năm và có bảo hiểm mạng. Đỉnh điểm của hoạt động này là vụ tấn công vào công ty Kaseya vào dịp lễ Quốc khánh Mỹ năm 2021, ảnh hưởng đến hơn 1.500 doanh nghiệp và cơ quan chính phủ. Tuy nhiên, vụ việc này đã dẫn đến sự sụp đổ của REvil khi FBI xâm nhập thành công vào máy chủ của họ và tung ra công cụ giải mã miễn phí.
Con đường dẫn đến danh tính thật
Dù Shchukin hiện được cho là đang ẩn náu tại Krasnodar, Nga và khả năng cao sẽ không bị dẫn độ về Đức, việc công bố danh tính là một bước tiến quan trọng. Tên tuổi của Shchukin từng xuất hiện trong một hồ sơ của Bộ Tư pháp Hoa Kỳ vào năm 2023 liên quan đến việc thu giữ tài sản tiền điện tử bất hợp pháp worth hơn 317.000 USD.
Các nhà điều tra cũng đã liên kết Shchukin với một danh tính hacker cũ tên là "Ger0in", người từng hoạt động vào khoảng 2010-2011. Ngoài ra, hình ảnh trong buổi tiệc sinh nhật năm 2023 tại Krasnodar cũng khớp với ảnh do BKA công bố, trong đó Shchukin đeo một chiếc đồng hồ đắt tiền giống hệt với ảnh nhận dạng của cảnh sát.
