Polisi Jerman ungkap identitas pemimpin Rusia di balik geng ransomware GandCrab·REvil

 (krebsonsecurity.com)
1 poin oleh GN⁺ 14 hari lalu | Belum ada komentar. | Bagikan ke WhatsApp
  • Kantor Polisi Kriminal Federal Jerman mengungkap nama asli Daniil Maksimovich Shchukin, warga negara Rusia, dan menunjuknya sebagai pemimpin geng ransomware GandCrab dan REvil
  • Shchukin diketahui beroperasi dengan nama samaran UNKN (UNKNOWN) dan disebut sebagai tokoh kunci yang memperkenalkan metode pemerasan ganda yang menuntut uang dari korban dua kali
  • GandCrab muncul pada 2018 dan, melalui model afiliasi, memeras sekitar 2 miliar dolar AS sebelum menghentikan operasinya; setelah itu REvil muncul dan menargetkan perusahaan besar
  • Departemen Kehakiman AS telah meminta penyitaan akun kripto atas nama Shchukin, sementara otoritas Jerman menyatakan kemungkinan besar ia tinggal di Krasnodar, Rusia
  • REvil berkembang menjadi struktur kejahatan industrial dengan outsourcing pekerjaan dan sub-ekosistem, namun runtuh setelah intervensi FBI pasca insiden peretasan Kaseya pada 2021

Jerman ungkap identitas asli ‘UNKN’, pemimpin geng ransomware Rusia GandCrab·REvil

  • Kantor Polisi Kriminal Federal Jerman (BKA) menunjuk Daniil Maksimovich Shchukin asal Rusia sebagai pemimpin geng ransomware GandCrab dan REvil
    • Shchukin dituduh memimpin setidaknya 130 kasus perusakan komputer dan pemerasan di Jerman antara 2019 hingga 2021
    • Bersama warga Rusia lain, Anatoly Sergeevitsch Kravchuk, ia diduga memeras sekitar 2 juta euro dan menyebabkan kerugian ekonomi total lebih dari 35 juta euro
  • BKA menyatakan Shchukin beroperasi dengan nama samaran ‘UNKN’ (atau UNKNOWN) dan merupakan tokoh kunci yang memperkenalkan metode double extortion
    • Korban harus membayar sekali untuk mendapatkan kunci dekripsi, lalu membayar lagi agar data yang dicuri tidak dipublikasikan
    • GandCrab dan REvil dinilai sebagai jaringan ransomware besar yang beroperasi secara global

Pembentukan dan evolusi GandCrab dan REvil

  • Ransomware GandCrab muncul pada Januari 2018 dan menjalankan model afiliasi (affiliate) yang memungkinkan peretas memperoleh bagian keuntungan hanya dengan menembus akun perusahaan
    • Tim pengembang terus meningkatkan fungsinya sambil merilis lima versi utama untuk menghindari respons dari perusahaan keamanan
    • Pada Mei 2019, setelah memeras sekitar 2 miliar dolar AS, mereka mengumumkan penghentian operasi sambil meninggalkan pesan bahwa “bahkan lewat perbuatan jahat pun seseorang bisa menjadi kaya dengan selamat”
  • Tak lama setelah GandCrab berhenti, ransomware REvil pun muncul
    • Seorang pengguna bernama ‘UNKNOWN’ menyetor 1 juta dolar AS di forum kriminal Rusia untuk membangun kepercayaan, dan hal ini dipandang sebagai restrukturisasi GandCrab
    • REvil berkembang dengan strategi ‘big game hunting’ yang menargetkan perusahaan besar dan organisasi yang memiliki asuransi untuk menuntut tebusan dalam jumlah sangat besar

Identitas Shchukin dan penyelidikan internasional

  • Pada Februari 2023, Departemen Kehakiman AS secara eksplisit menyebut nama Shchukin saat meminta penyitaan akun kripto yang berisi hasil aktivitas REvil
    • Dompet tersebut berisi sekitar 317 ribu dolar AS dalam aset kripto
  • BKA menyatakan Shchukin berasal dari Krasnodar, Rusia, dan kemungkinan besar masih tinggal di sana hingga sekarang
    • Disebutkan pula bahwa “ia mungkin sedang berada di luar negeri, dan aktivitas perjalanannya juga tidak dapat dikesampingkan”

Operasi REvil dan struktur kejahatan yang terindustrialisasi

  • Menurut buku The Ransomware Hunting Team karya Renee Dudley dan Daniel Golden, REvil memaksimalkan efisiensi seperti perusahaan legal melalui outsourcing pekerjaan dan reinvestasi
    • Pengembang fokus pada peningkatan kualitas, sementara pihak luar menangani desain web, logistik, dan layanan enkripsi
    • Berbagai sub-ekosistem seperti penyedia ‘crypter’, broker akses awal, dan layanan pencucian Bitcoin ikut terbentuk sehingga industri kejahatan ini makin meluas

Insiden besar dan kejatuhan

  • Pada akhir pekan 4 Juli 2021, REvil meretas perusahaan manajemen TI AS Kaseya dan berdampak pada sekitar 1.500 pelanggan perusahaan tersebut
    • FBI menyatakan sebenarnya sudah menyusup ke server REvil, tetapi tidak dapat segera campur tangan demi menghindari terbongkarnya operasi
    • Setelah itu FBI merilis kunci dekripsi gratis, dan REvil pun pada praktiknya runtuh

Petunjuk tambahan dan verifikasi identitas

  • Hasil analisis forum oleh perusahaan intelijen siber Intel 471 menunjukkan bahwa Shchukin sebelumnya pernah menggunakan nama ‘Ger0in’ untuk mengoperasikan botnet dan menjual layanan pemasangan malware
    • Ger0in aktif pada 2010–2011, tetapi keterkaitan langsung dengan UNKNOWN belum terkonfirmasi
  • Melalui situs perbandingan gambar Pimeyes, foto yang dirilis BKA dinilai cocok dengan sosok dalam foto pesta ulang tahun di Krasnodar pada 2023, termasuk jam tangan yang sama
  • Dalam konferensi CCC (Chaos Communication Congress) di Jerman pada 2023, juga dipublikasikan audio sulih suara bahasa Inggris yang menyebut Shchukin sebagai pemimpin REvil

Bacaan terkait

Belum ada komentar.

Belum ada komentar.