Alemanha expõe líder do REvil/GandCrab e reacende debate sobre guerra ao ransomware

Autoridades alemãs divulgaram a identidade do operador conhecido como UNKN/UNKNOWN, apontado como líder das operações de ransomware GandCrab e REvil. Segundo a BKA, o suspeito é o russo Daniil Maksimovich Shchukin (31), associado a dezenas de extorsões entre 2019 e 2021, com prejuízo total estimado em mais de €35 milhões e pagamentos de resgate somando cerca de €1,9 milhão.

Quem é o “UNKN” e por que isso importa

GandCrab e REvil foram centrais na industrialização do ransomware: popularizaram o modelo de dupla extorsão (criptografia + ameaça de vazamento de dados) e, no REvil, o foco em “big‑game hunting”, mirando empresas com faturamento alto e apólices de seguro cibernético. A exposição pública do líder indica pressão policial, mas também reforça um padrão: grupos caem, nomes mudam, e a cadeia criminosa permanece.

Contexto histórico e evolução do ecossistema

O GandCrab surgiu em 2018 e chegou a se declarar responsável por bilhões em ganhos antes de “encerrar” operações. Pouco depois, o REvil apareceu em fóruns russos com o mesmo repertório técnico e modelo de afiliados — muitos analistas o tratam como rebranding. Esse ecossistema funciona como um negócio: desenvolvedores criam o ransomware, afiliados executam ataques, e serviços paralelos (brokers de acesso inicial, lavadores de cripto, hospedagem “à prova de denúncia”) completam a cadeia.

Impacto real e exemplos

O REvil ficou marcado por ataques de alto impacto, incluindo a operação contra a Kaseya em 2021, que atingiu milhares de organizações via cadeia de suprimentos. A lição é direta: mesmo quando o alvo é “só” um fornecedor de TI, o impacto se espalha por toda a base de clientes.

O que muda para quem defende

• Não conte com “fim de grupo”: rebrandings são comuns, as TTPs permanecem.
• Segmentação e hardening: reduzir superfície em RDP/VPN e reforçar MFA.
• Backups offline e resposta rápida: tempo é tudo quando o ataque evolui para extorsão.
• Monitorar exfiltração: a segunda etapa (vazamento) virou o principal fator de pressão.

Leitura estratégica

A exposição do UNKN é um recado geopolítico e operacional: as autoridades querem elevar o custo reputacional e operacional de líderes de ransomware. Mas, na prática, o modelo segue resiliente — e só recua quando o custo de ataque ultrapassa o ganho.

Fonte

Krebs on Security