Selon des révélations du Bundeskriminalamt (BKA), deux ressortissants russes ont été identifiés comme étant les dirigeants des opérations de ransomware GandCrab et REvil entre 2019 et 2021. Les individus en question, Daniil Maksimovich Shchukin, 31 ans, et Anatoly Sergeevitsch Kravchuk, 43 ans, ont dirigé ces groupes criminels cybernétiques depuis au moins le début de 2019 jusqu’en juillet 2021.
Shchukin a utilisé les pseudonymes UNKN et UNKNOWN pendant plusieurs années, se présentant comme un porte-parole des opérations de ransomware sur les forums de cybercriminalité.
Les autorités germaniques rapportent que les deux hommes seraient impliqués dans au moins 130 affaires d’extorsion ciblant des entreprises en Allemagne. À la suite de ces attaques, au moins 25 entreprises ont versé environ 2,2 millions de dollars en rançons, tandis que le total des dommages financiers causés est estimé à plus de 40 millions de dollars.
Lancé début 2018, GandCrab a vu son leader initial annoncer sa retraite en juin 2019 après avoir déclaré avoir généré 2 milliards de dollars en paiements de rançon. Celui-ci aurait encaissé 150 millions de dollars, qu’il a prétendument investis dans des entreprises légales.
Peu après, une nouvelle opération connue sous le nom de REvil, ou Sodinokibi, a vu le jour, s’inspirant du modèle d’affiliation de GandCrab et établissant des partenariats avec d’autres cybercriminels. Les membres fondateurs de REvil étaient pour la plupart des anciens affiliés de GandCrab qui avaient déjà acquis des compétences dans l’application de tactiques efficaces.
REvil a introduit des sites de fuite publics et des enchères de données pour faire pression sur leurs victimes. Parmi les cibles notables figurent plusieurs administrations locales du Texas, le géant de l’informatique Acer, ainsi que l’attaque sur la chaîne d’approvisionnement Kaseya qui a affecté environ 1 500 victimes.
Après l’importante cyberattaque contre Kaseya, REvil a suspendu ses opérations pendant deux mois, période durant laquelle les forces de l’ordre ont eu l’occasion de compromettre leurs serveurs. En janvier 2022, la Russie a procédé à l’arrestation de plus d’une dizaine de membres du groupe REvil, qui ont été relâchés en 2025 après avoir purgé une peine liée à des accusations de fraude.
Le BKA émet des doutes quant à savoir si Shchukin ou Kravchuk ont rejoint d’autres opérations de ransomware après la chute de REvil en 2021. Actuellement, les autorités estiment que les deux individus se trouvent en Russie et demandent au public de signaler toute information pouvant aider à les localiser. Des fiches d’information ont été publiées sur le portail EU’s Most Wanted.
Les forces de l’ordre ont aussi diffusé plusieurs images, y compris des photos de tatouages, pour aider à retrouver ces acteurs de la menace et les traduire en justice.