Polisi Jerman ungkap identitas pemimpin Rusia di balik geng ransomware GandCrab·REvil

 (krebsonsecurity.com)
1 poin oleh GN⁺ 2026-04-08 | 1 komentar | Bagikan ke WhatsApp
  • Kantor Polisi Kriminal Federal Jerman mengungkap nama asli Daniil Maksimovich Shchukin, warga negara Rusia, dan menunjuknya sebagai pemimpin geng ransomware GandCrab dan REvil
  • Shchukin diketahui beroperasi dengan nama samaran UNKN (UNKNOWN) dan disebut sebagai tokoh kunci yang memperkenalkan metode pemerasan ganda yang menuntut uang dari korban dua kali
  • GandCrab muncul pada 2018 dan, melalui model afiliasi, memeras sekitar 2 miliar dolar AS sebelum menghentikan operasinya; setelah itu REvil muncul dan menargetkan perusahaan besar
  • Departemen Kehakiman AS telah meminta penyitaan akun kripto atas nama Shchukin, sementara otoritas Jerman menyatakan kemungkinan besar ia tinggal di Krasnodar, Rusia
  • REvil berkembang menjadi struktur kejahatan industrial dengan outsourcing pekerjaan dan sub-ekosistem, namun runtuh setelah intervensi FBI pasca insiden peretasan Kaseya pada 2021

Jerman ungkap identitas asli ‘UNKN’, pemimpin geng ransomware Rusia GandCrab·REvil

  • Kantor Polisi Kriminal Federal Jerman (BKA) menunjuk Daniil Maksimovich Shchukin asal Rusia sebagai pemimpin geng ransomware GandCrab dan REvil
    • Shchukin dituduh memimpin setidaknya 130 kasus perusakan komputer dan pemerasan di Jerman antara 2019 hingga 2021
    • Bersama warga Rusia lain, Anatoly Sergeevitsch Kravchuk, ia diduga memeras sekitar 2 juta euro dan menyebabkan kerugian ekonomi total lebih dari 35 juta euro
  • BKA menyatakan Shchukin beroperasi dengan nama samaran ‘UNKN’ (atau UNKNOWN) dan merupakan tokoh kunci yang memperkenalkan metode double extortion
    • Korban harus membayar sekali untuk mendapatkan kunci dekripsi, lalu membayar lagi agar data yang dicuri tidak dipublikasikan
    • GandCrab dan REvil dinilai sebagai jaringan ransomware besar yang beroperasi secara global

Pembentukan dan evolusi GandCrab dan REvil

  • Ransomware GandCrab muncul pada Januari 2018 dan menjalankan model afiliasi (affiliate) yang memungkinkan peretas memperoleh bagian keuntungan hanya dengan menembus akun perusahaan
    • Tim pengembang terus meningkatkan fungsinya sambil merilis lima versi utama untuk menghindari respons dari perusahaan keamanan
    • Pada Mei 2019, setelah memeras sekitar 2 miliar dolar AS, mereka mengumumkan penghentian operasi sambil meninggalkan pesan bahwa “bahkan lewat perbuatan jahat pun seseorang bisa menjadi kaya dengan selamat”
    Iklan
  • Tak lama setelah GandCrab berhenti, ransomware REvil pun muncul
    • Seorang pengguna bernama ‘UNKNOWN’ menyetor 1 juta dolar AS di forum kriminal Rusia untuk membangun kepercayaan, dan hal ini dipandang sebagai restrukturisasi GandCrab
    • REvil berkembang dengan strategi ‘big game hunting’ yang menargetkan perusahaan besar dan organisasi yang memiliki asuransi untuk menuntut tebusan dalam jumlah sangat besar

Identitas Shchukin dan penyelidikan internasional

  • Pada Februari 2023, Departemen Kehakiman AS secara eksplisit menyebut nama Shchukin saat meminta penyitaan akun kripto yang berisi hasil aktivitas REvil
    • Dompet tersebut berisi sekitar 317 ribu dolar AS dalam aset kripto
  • BKA menyatakan Shchukin berasal dari Krasnodar, Rusia, dan kemungkinan besar masih tinggal di sana hingga sekarang
    • Disebutkan pula bahwa “ia mungkin sedang berada di luar negeri, dan aktivitas perjalanannya juga tidak dapat dikesampingkan”

Operasi REvil dan struktur kejahatan yang terindustrialisasi

  • Menurut buku The Ransomware Hunting Team karya Renee Dudley dan Daniel Golden, REvil memaksimalkan efisiensi seperti perusahaan legal melalui outsourcing pekerjaan dan reinvestasi
    • Pengembang fokus pada peningkatan kualitas, sementara pihak luar menangani desain web, logistik, dan layanan enkripsi
    • Berbagai sub-ekosistem seperti penyedia ‘crypter’, broker akses awal, dan layanan pencucian Bitcoin ikut terbentuk sehingga industri kejahatan ini makin meluas
    Iklan

Insiden besar dan kejatuhan

  • Pada akhir pekan 4 Juli 2021, REvil meretas perusahaan manajemen TI AS Kaseya dan berdampak pada sekitar 1.500 pelanggan perusahaan tersebut
    • FBI menyatakan sebenarnya sudah menyusup ke server REvil, tetapi tidak dapat segera campur tangan demi menghindari terbongkarnya operasi
    • Setelah itu FBI merilis kunci dekripsi gratis, dan REvil pun pada praktiknya runtuh

Petunjuk tambahan dan verifikasi identitas

  • Hasil analisis forum oleh perusahaan intelijen siber Intel 471 menunjukkan bahwa Shchukin sebelumnya pernah menggunakan nama ‘Ger0in’ untuk mengoperasikan botnet dan menjual layanan pemasangan malware
    • Ger0in aktif pada 2010–2011, tetapi keterkaitan langsung dengan UNKNOWN belum terkonfirmasi
  • Melalui situs perbandingan gambar Pimeyes, foto yang dirilis BKA dinilai cocok dengan sosok dalam foto pesta ulang tahun di Krasnodar pada 2023, termasuk jam tangan yang sama
  • Dalam konferensi CCC (Chaos Communication Congress) di Jerman pada 2023, juga dipublikasikan audio sulih suara bahasa Inggris yang menyebut Shchukin sebagai pemimpin REvil

Bacaan terkait

1 komentar

 
GN⁺ 2026-04-08
Komentar Hacker News

  • Saya pernah mendengar bahwa beberapa tahun lalu peretas dari CCC sudah mengungkap identitas salah satu orang ini
    Seperti yang disebutkan dalam pembaruan, hal ini juga dibahas dalam video presentasi CCC
    Jadi saya penasaran apakah aparat penegak hukum menemukannya sendiri, atau meminta bantuan dari peretas yang sebelumnya ikut dalam upaya pertahanan

    • Saya tidak terlalu mendalami topik ini, tetapi secara umum hubungan antara CCC dan BND (badan intelijen Jerman) tidaklah hangat
      Terutama setelah kasus BND memata-matai warga Jerman, dan secara historis juga memang ada konflik
      Jadi jika seorang peretas bekerja sama dengan BND, ada risiko kehilangan kepercayaan di antara sesama peretas
    • Linus Neumann juga baru-baru ini merasa heran mengapa hal seperti ini terjadi sekarang dalam episode podcast Logbuch Netzpolitik
      Menurut mereka, mereka juga tidak pernah dihubungi secara resmi

  • Spiegel baru-baru ini mengunggah laporan video tentang kasus ini

  • Saya jadi bertanya-tanya apakah menaruh seseorang di ‘daftar buronan paling dicari’ itu termasuk doxing
    Penjelasan resminya menyebut, “Daniil Maksimovich Shchukin sedang diburu secara internasional atas dugaan pemerasan ransomware terhadap perusahaan dan lembaga publik”

    • Saya kurang nyaman dengan istilah itu. ‘Doxing’ awalnya punya konotasi negatif, digunakan saat informasi pribadi orang yang tidak bersalah dipublikasikan
      Di sini saya rasa ‘accuse’ atau ‘unmask’ adalah istilah yang lebih tepat
    • Seiring perubahan bahasa, sekarang ‘doxing’ tampaknya dipakai untuk sekadar mempublikasikan informasi pribadi tanpa persetujuan
    • Ada juga yang bilang AS sudah mengidentifikasinya sejak 3 tahun lalu
    • Saya sulit mengikuti logika itu. Rasanya seperti GDPR dianggap terlalu serius (bercanda)
    • Kalau yang dimasukkan ke daftar buronan cuma ‘UNKN’, itu bukan doxing, tetapi karena ‘UNKN’ dihubungkan ke nama asli, maka itu bisa dianggap doxing

  • Saya tidak paham kenapa “mengungkap nama pemeras anonim” dianggap doxing
    Artikelnya juga tidak memuat alamat, informasi keluarga, atau kontak, hanya menyebut bahwa dia adalah “orang yang ingin ditangkap”

    • Belakangan ini makna ‘doxing’ tampaknya meluas menjadi ‘membuka informasi tanpa persetujuan pihak terkait’
      Masalahnya, pengungkapan seperti ini bisa membuat orang-orang di sekitarnya melihat dia sebagai penjahat atau tetangga kaya, sehingga memicu upaya pencurian atau pemerasan
      Bahkan pernah ada kasus orang sampai menyamar sebagai agen intelijen untuk memeras penjahat siber yang sudah didoxing
    • Lagi pula, ungkapan “dicari oleh Jerman” sendiri juga tidak terdengar terlalu berpengaruh

  • Orang-orang tampaknya terlalu terpaku pada arti kata ‘doxing’
    Dalam komunitas peretasan anonim, tindakan mengungkap OPSEC (operasional keamanan) seseorang itu sendiri sudah dianggap sebagai doxing
    Sebagian orang bahkan memilih pendekatan ‘full disclosure’ dengan langsung mengungkap semua kegagalan OPSEC
    Kalau tidak, ada risiko seseorang menimbun informasi itu dan memakainya nanti untuk pemerasan

  • Saya rasa ejaan yang benar adalah ‘doxxes’. ‘doxes’ terdengar aneh karena secara pelafalan seperti ‘doksiz’
    Beberapa puluh tahun lalu, judul seperti ini sendiri akan terdengar seperti permainan kata yang membingungkan

  • Saya tidak tahu sejak kapan memasukkan seseorang ke daftar buronan resmi dianggap doxing
    Kalau dia ingin informasinya diturunkan, ya tinggal datang ke pengadilan