Đức Doxes "UNKN", Trưởng nhóm RU Ransomware Gangs REvil, GandCrab

Một hacker khét tiếng với biệt danh “UNKN” và từng điều hành các nhóm ransomware Nga ban đầu là GandCrab và REvil giờ đây đã có tên tuổi và dung nhan. Giới chức Đức cho biết Daniil Maksimovich Shchukin, 31 tuổi, người Nga, đã đứng đầu cả hai băng nhóm tội phạm mạng và thực hiện ít nhất 130 vụ phá hoại máy tính và tống tiền nạn nhân trên toàn quốc trong khoảng thời gian từ năm 2019 đến 2021.

Shchukin được nêu tên là UNKN (còn gọi là UNKNOWN) trong một bản tin cảnh báo do Cảnh sát Liên bang Đức (gọi tắt là BKA) công bố. BKA cho biết Shchukin và một người Nga khác – Anatoly Sergeevitsch Kravchuk, 43 tuổi – đã tống tiền gần 2 triệu euro qua hai chục vụ tấn công mạng gây thiệt hại kinh tế tổng cộng hơn 35 triệu euro.

BKA của Đức cho biết Shchukin đóng vai trò là người đứng đầu một trong những nhóm ransomware hoạt động lớn nhất toàn cầu, GandCrab và REvil, vốn tiên phong trong việc áp dụng hình thức tống tiền kép – đòi nạn nhân trả tiền một lần để lấy khóa mở khóa hệ thống bị tấn công và một khoản thanh toán riêng để đổi lấy lời hứa không công bố dữ liệu bị đánh cắp.

Tên của Shchukin xuất hiện trong một bản đệ trình vào tháng 2 năm 2023 (PDF) của Bộ Tư pháp Hoa Kỳ yêu cầu tịch thu các tài khoản tiền mã hóa liên quan đến các khoản thu lợi bất chính từ hoạt động của băng nhóm ransomware REvil. Chính phủ cho biết ví tiền kỹ thuật số liên kết với Shchukin chứa hơn 317.000 đô la tiền mã hóa bất hợp pháp.

Chương trình liên kết ransomware Gandcrab lần đầu tiên xuất hiện vào tháng 1 năm 2018, và đã trả cho các hacker tài ba những khoản lợi nhuận khổng lồ chỉ vì xâm nhập vào tài khoản người dùng tại các tập đoàn lớn. Nhóm Gandcrab sau đó sẽ cố gắng mở rộng quyền truy cập đó, thường là đánh cắp một lượng lớn các tài liệu nhạy cảm và nội bộ trong quá trình này. Những người quản lý mã độc đã tung ra năm phiên bản chính của mã GandCrab, mỗi phiên bản đi kèm với các tính năng mới tinh vi và sửa lỗi nhằm cản trở nỗ lực của các công ty an ninh mạng trong việc ngăn chặn sự lây lan của mã độc.

Vào ngày 31 tháng 5 năm 2019, nhóm GandCrab thông báo nhóm sẽ đóng cửa sau khi tống tiền hơn 2 tỷ đô la từ các nạn nhân. “Chúng tôi là bằng chứng sống cho thấy bạn có thể làm điều ác và thoát tội một cách dễ dàng,” lời tuyên bố chia tay nổi tiếng của GandCrab đã mỉa mai. “Chúng tôi đã chứng minh rằng một người có thể kiếm được cả đời tiền trong một năm. Chúng tôi đã chứng minh rằng bạn có thể trở thành số một theo sự công nhận chung, không phải do bản thân tự nhận thức.”

Chương trình liên kết ransomware REvil xuất hiện cùng thời điểm với sự sụp đổ của GandCrab, được điều hành bởi một người dùng tên là UNKNOWN, người này đã tuyên bố trên một diễn đàn tội phạm mạng của Nga rằng anh ta đã gửi 1 triệu đô la vào tài khoản ký quỹ của diễn đàn để cho thấy mình nghiêm túc. Vào thời điểm này, nhiều chuyên gia an ninh mạng đã kết luận REvil không hơn gì một cuộc tái tổ chức của GandCrab.

UNKNOWN cũng đã phỏng vấn Dmitry Smilyanets, một cựu hacker độc hại được Recorded Future thuê, trong đó UNKNOWN mô tả một câu chuyện từ nghèo khó vươn lên giàu sang, không bị ràng buộc bởi đạo đức và lương tâm.

“Khi còn nhỏ, tôi lục lọi trong các đống rác và hút tàn thuốc,” UNKNOWN nói với Recorded Future. “Tôi đi bộ 10 km để đến trường. Tôi mặc cùng một bộ quần áo trong sáu tháng. Khi còn trẻ, trong một căn hộ chung, tôi nhịn ăn hai hoặc thậm chí ba ngày. Giờ tôi đã là triệu phú.”

Như được mô tả trong cuốn The Ransomware Hunting Team của Renee Dudley và Daniel Golden, UNKNOWN và REvil đã tái đầu tư lợi nhuận đáng kể để cải thiện thành công của họ và bắt chước các hoạt động của các doanh nghiệp hợp pháp. Các tác giả đã viết:

“Giống như một nhà sản xuất trong thế giới thực có thể thuê các công ty khác để xử lý hậu cần hoặc thiết kế web, các nhà phát triển ransomware ngày càng thuê ngoài các nhiệm vụ nằm ngoài phạm vi của họ, thay vào đó tập trung vào việc cải thiện chất lượng ransomware của họ. Ransomware chất lượng cao hơn—mà trong nhiều trường hợp, Đội săn lùng không thể phá vỡ—dẫn đến nhiều khoản thanh toán cao hơn từ các nạn nhân. Các khoản thanh toán khổng lồ đã cho phép các băng nhóm tái đầu tư vào hoạt động kinh doanh của họ. Họ thuê thêm các chuyên gia và thành công của họ đã tăng tốc.”

“Các tội phạm đã chạy đua để tham gia vào nền kinh tế ransomware đang bùng nổ. Các nhà cung cấp dịch vụ phụ trợ trong thế giới ngầm đã xuất hiện hoặc chuyển đổi từ các công việc phạm tội khác để đáp ứng nhu cầu hỗ trợ tùy chỉnh của các nhà phát triển. Hợp tác với các băng nhóm như GandCrab, các nhà cung cấp ‘cryptor’ đảm bảo ransomware không thể bị phát hiện bởi các trình quét chống phần mềm độc hại tiêu chuẩn. ‘Môi giới truy cập ban đầu’ chuyên đánh cắp thông tin đăng nhập và tìm kiếm lỗ hổng trong mạng mục tiêu, bán quyền truy cập đó cho các nhà điều hành ransomware và cộng tác viên. Các dịch vụ “tumbler” Bitcoin đã đưa ra các khoản giảm giá cho các băng nhóm sử dụng chúng làm nhà cung cấp ưa thích để rửa tiền chuộc. Một số nhà thầu sẵn sàng làm việc với bất kỳ băng nhóm nào, trong khi những người khác lại tham gia vào các thỏa thuận hợp tác độc quyền.”

REvil đã phát triển thành một cỗ máy “săn lùng các con mồi lớn” đáng sợ, có khả năng trích xuất các khoản thanh toán tống tiền lớn từ các nạn nhân, chủ yếu nhắm vào các tổ chức có doanh thu hàng năm hơn 100 triệu đô la và các chính sách bảo hiểm mạng mới dày dặn được biết là sẽ chi trả.

Trong kỳ nghỉ lễ 4 tháng 7 năm 2021 tại Hoa Kỳ, REvil đã hack và tống tiền Kaseya, một công ty xử lý hoạt động CNTT cho hơn 1.500 doanh nghiệp, tổ chức phi lợi nhuận và cơ quan chính phủ. FBI sau đó đã thông báo rằng họ đã xâm nhập vào máy chủ của nhóm ransomware trước vụ hack Kaseya nhưng không thể tiết lộ thông tin vào thời điểm đó. REvil không bao giờ phục hồi sau sự cố cốt lõi đó, hoặc sau khi FBI phát hành khóa giải mã miễn phí cho các nạn nhân REvil không thể hoặc không trả tiền.

Shchukin đến từ Krasnodar, Nga và được cho là cư trú tại đó, BKA cho biết.

“Dựa trên các cuộc điều tra cho đến nay, người ta cho rằng người bị truy nã đang ở nước ngoài, có thể là ở Nga,” BKA tư vấn. “Không thể loại trừ hành vi di chuyển.”

Có rất ít điểm kết nối Shchukin với các tài khoản khác nhau của UNKNOWN trên các diễn đàn tội phạm của Nga. Nhưng một đánh giá về các diễn đàn tội phạm của Nga được lập chỉ mục bởi công ty tình báo mạng Intel 471 cho thấy có rất nhiều điểm kết nối Shchukin với một danh tính hacker có tên “Ger0in” đã điều hành các botnet lớn và bán “lượt cài đặt”—cho phép các tội phạm mạng khác triển khai nhanh chóng phần mềm độc hại tùy chọn của họ cho hàng nghìn máy tính cùng lúc. Tuy nhiên, Ger0in chỉ hoạt động từ năm 2010 đến 2011, trước khi UNKNOWN xuất hiện với tư cách là người đại diện của REvil.

Hình ảnh từ bữa tiệc sinh nhật của Daniil Shchukin ở Krasnodar vào năm 2023.