Alemanha expõe líder do REvil/GandCrab e reacende debate sobre guerra ao ransomware
A Alemanha expôs o líder ligado a GandCrab/REvil e reforçou o alerta sobre rebrandings no ecossistema de ransomware. A ação destaca perdas milionárias e a pressão internacional contra operadores que seguem ativos.
Autoridades alemãs divulgaram a identidade do operador conhecido como UNKN/UNKNOWN, apontado como líder das operações de ransomware GandCrab e REvil. Segundo a BKA, o suspeito é o russo Daniil Maksimovich Shchukin (31), associado a dezenas de extorsões entre 2019 e 2021, com prejuízo total estimado em mais de €35 milhões e pagamentos de resgate somando cerca de €1,9 milhão.
Quem é o “UNKN” e por que isso importa
GandCrab e REvil foram centrais na industrialização do ransomware: popularizaram o modelo de dupla extorsão (criptografia + ameaça de vazamento de dados) e, no REvil, o foco em “big‑game hunting”, mirando empresas com faturamento alto e apólices de seguro cibernético. A exposição pública do líder indica pressão policial, mas também reforça um padrão: grupos caem, nomes mudam, e a cadeia criminosa permanece.
Contexto histórico e evolução do ecossistema
O GandCrab surgiu em 2018 e chegou a se declarar responsável por bilhões em ganhos antes de “encerrar” operações. Pouco depois, o REvil apareceu em fóruns russos com o mesmo repertório técnico e modelo de afiliados — muitos analistas o tratam como rebranding. Esse ecossistema funciona como um negócio: desenvolvedores criam o ransomware, afiliados executam ataques, e serviços paralelos (brokers de acesso inicial, lavadores de cripto, hospedagem “à prova de denúncia”) completam a cadeia.
Impacto real e exemplos
O REvil ficou marcado por ataques de alto impacto, incluindo a operação contra a Kaseya em 2021, que atingiu milhares de organizações via cadeia de suprimentos. A lição é direta: mesmo quando o alvo é “só” um fornecedor de TI, o impacto se espalha por toda a base de clientes.
O que muda para quem defende
- Não conte com “fim de grupo”: rebrandings são comuns, as TTPs permanecem.
- Segmentação e hardening: reduzir superfície em RDP/VPN e reforçar MFA.
- Backups offline e resposta rápida: tempo é tudo quando o ataque evolui para extorsão.
- Monitorar exfiltração: a segunda etapa (vazamento) virou o principal fator de pressão.
Leitura estratégica
A exposição do UNKN é um recado geopolítico e operacional: as autoridades querem elevar o custo reputacional e operacional de líderes de ransomware. Mas, na prática, o modelo segue resiliente — e só recua quando o custo de ataque ultrapassa o ganho.
