🔍 Contexte

Source : KrebsOnSecurity, publié le 6 avril 2026. Le Bureau fédéral de police criminelle allemand (BKA / Bundeskriminalamt) a publié un avis officiel révélant l’identité du hacker opérant sous le pseudonyme UNKN (alias UNKNOWN), jusqu’alors non identifié publiquement.

👤 Individus identifiés

  • Daniil Maksimovich Shchukin, 31 ans, ressortissant russe, originaire de Krasnodar (Russie), identifié comme chef des groupes GandCrab et REvil
  • Anatoly Sergeevitsch Kravchuk, 43 ans, ressortissant russe, co-accusé
  • Shchukin était également actif sous l’identité Ger0in sur des forums cybercriminels russes entre 2010 et 2011, opérant des botnets et vendant des « installs »

🎯 Faits reprochés

  • Au moins 130 actes de sabotage informatique et d’extorsion contre des victimes en Allemagne entre 2019 et 2021
  • ~2 millions d’euros extorqués sur une vingtaine d’attaques
  • Plus de 35 millions d’euros de dommages économiques totaux en Allemagne
  • Un portefeuille numérique lié à Shchukin contenait plus de 317 000 dollars en cryptomonnaies selon un dossier du DOJ américain de février 2023

🦠 Groupes ransomware dirigés

GandCrab

  • Apparu en janvier 2018 sous forme de programme d’affiliation
  • Cinq révisions majeures du code publiées
  • Arrêt annoncé le 31 mai 2019 après avoir extorqué plus de 2 milliards de dollars à des victimes
  • Pionnier de la double extorsion (paiement pour déchiffrement + paiement pour non-publication des données)

REvil

  • Apparu concomitamment à la fermeture de GandCrab
  • Fronté par UNKNOWN, qui avait déposé 1 million de dollars en escrow sur un forum cybercriminel russe
  • Ciblait principalement des organisations avec plus de 100 millions de dollars de revenus annuels
  • Attaque majeure : hack de Kaseya le week-end du 4 juillet 2021, affectant plus de 1 500 entreprises, ONG et agences gouvernementales
  • Le FBI avait infiltré les serveurs de REvil avant l’attaque Kaseya et a publié une clé de déchiffrement gratuite pour les victimes

🔗 Liens et attribution

  • Le nom de Shchukin apparaît dans un dossier du DOJ américain de février 2023 lié à la saisie de comptes cryptomonnaies associés à REvil
  • La firme Intel 471 a indexé des données de forums russes reliant Shchukin à l’identité Ger0in
  • Une correspondance photographique a été établie via PimEyes entre les photos du BKA et une célébration d’anniversaire de 2023 à Krasnodar
  • UNKNOWN avait accordé une interview à Dmitry Smilyanets (Recorded Future)

📌 Type d’article

Article de presse spécialisée relatant une opération d’attribution et de doxing officiel par les autorités allemandes, visant à exposer publiquement l’identité d’un cybercriminel présumé résidant en Russie et hors de portée judiciaire immédiate.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1486 — Data Encrypted for Impact (Impact)
  • T1657 — Financial Theft (Impact)
  • T1078 — Valid Accounts (Initial Access)
  • T1566 — Phishing (Initial Access)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1587.001 — Develop Capabilities: Malware (Resource Development)
  • T1583.006 — Acquire Infrastructure: Web Services (Resource Development)
  • T1489 — Service Stop (Impact)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1071 — Application Layer Protocol (Command and Control)

Malware / Outils

  • GandCrab (ransomware)
  • REvil (ransomware)

🔗 Source originale : https://krebsonsecurity.com/2026/04/germany-doxes-unkn-head-of-ru-ransomware-gangs-revil-gandcrab/

🖴 Archive : https://web.archive.org/web/20260406070153/https://krebsonsecurity.com/2026/04/germany-doxes-unkn-head-of-ru-ransomware-gangs-revil-gandcrab/