La police criminelle fédérale allemande (BKA) a déclaré publiquement ce qui a été pendant des années un mystère dans les cercles de cybersécurité: l'identité réelle du visage principal derrière la famille Ransomware REvil, également connue sous le nom de Sodinokibi. À la suite d'une enquête qui combine les techniques médico-légales numériques et la coopération internationale, les autorités ont signalé une personne opérant sous le pseudonyme UNKN, qui est maintenant sur la liste de recherche comme Daniil Maksimovich Shchukin, un citoyen russe de 31 ans. L'annonce a été recueillie par des chercheurs et des journalistes spécialisés, notamment Brian Krebs et officialisée dans les communiqués BKA.
Selon les allégations, Shchukin n'a pas agi seul: il aurait été le représentant public et l'un des chefs opérationnels du réseau d'extorsion qui, à l'époque, a atteint une grande visibilité pour son modèle d'affaires "Ransomware- as- service" (RaaS). Avec lui, les autorités ont identifié Anatoly Sergeevitsch Kravchuk, 43 ans, né dans la ville de Makiivka, comme le développeur qui a contribué au noyau technique des logiciels malveillants. Tous deux sont impliqués dans une longue chaîne d'incidents sur le territoire allemand, où les enquêtes attribuent plus de 100 millions d'attaques et de pertes économiques aux victimes.
Le système RaaS utilisé par REvil a permis à ses opérateurs de centraliser le développement du code malveillant tout en recrutant des affiliés qui ont lancé les campagnes et négocié des renflouements. Cette structure a facilité l'expansion globale du groupe et sa capacité d'atteindre des objectifs de premier plan, comme les grandes entreprises alimentaires et les fournisseurs de services gérés qui ont été victimes ces dernières années. Le modèle professionnel et l'externalisation de l'exécution ont fait du mal l'une des menaces les plus économiques et les plus néfastes de la cybercriminalité moderne.
En Allemagne, les chiffres que le BKA attribue au duo sont forts: environ 130 attaques imputées dans ce pays, dont une fraction a entraîné des paiements de sauvetage (environ 25 cas avec des paiements s'élevant à près de 2 millions d'euros) et des dommages économiques totaux qui, selon les estimations de la police, dépassent 30 millions d'euros. Ces chiffres reflètent non seulement le coût direct des sauvetages, mais aussi les pertes opérationnelles, de réputation et les coûts associés au recouvrement et à l'atténuation des intrusions.
L'histoire de Revil est aussi une carte de la façon dont la cybercriminalité peut être fragmentée et réapparue. A l'origine comme l'évolution du célèbre GandCrab, le groupe a atteint son apogée entre 2019 et 2021, disparaissant brièvement au milieu de 2021 et laissant des traces jusqu'à ce que, à l'automne de la même année, les opérations de police contre ses infrastructures et les collaborations internationales compliquent sa visibilité publique. Cette situation a conduit à des arrestations et à la fermeture de sites de filtration de données dans de nombreux pays, une réponse qui a mis en évidence l'importance de la coopération entre les forces de sécurité. Pour comprendre l'impact plus large du phénomène et des recommandations à l'intention des organisations, il est utile de consulter des ressources de référence telles que celles publiées par la Commission. CISA.
L'évolution de l'affaire s'est poursuivie avec des manœuvres et des arrestations légales dans différents pays. Les autorités roumaines et russes ont annoncé l'arrestation de personnes liées au réseau et, en 2022, le service de sécurité russe (FSB) a fait savoir qu'il avait désarticulé des membres liés à la famille REvil. Les rapports suivants ont fait état de condamnations pénales prononcées pour plusieurs personnes impliquées, ce qui est une évolution dans la presse internationale, notamment en ce qui concerne la Plongeurs sur les arrêts rendus en 2024.
Au-delà des noms et des chiffres, l'affaire comprend des épisodes qui illustrent la nature humaine derrière de nombreux cybercriminels : dans une interview tenue il y a des années, l'acteur qui a utilisé le pseudonyme UNKN a signalé un passé de privation et décrit son passage de la marginalité à un niveau de vie qu'il a lui-même décrit comme prospère, ainsi que l'attribution à l'organisation d'un vaste réseau de affiliés. Ce mélange de narration personnelle, de compétences techniques et d'opportunités criminelles explique en partie pourquoi des groupes comme Revil ont pu recruter des talents et développer rapidement leurs opérations. Pour lire les interviews et l'analyse approfondie de ces protagonistes, vous pouvez consulter la recherche journalistique et les rapports spécialisés, tels que ceux publiés dans Le dossier et d'autres plateformes de sécurité.
L'affaire laisse également des leçons pratiques aux chefs d'entreprise et aux décideurs. Tout d'abord, l'attribution et la détention de personnes dans le cyberespace nécessite une combinaison de techniques médico-légales, de renseignement collaboratif et de volonté politique transnationale. Deuxièmement, la persistance des modèles RaaS met en évidence la nécessité d'investir dans la prévention : segmentation des réseaux, sauvegarde hors ligne, formation du personnel et accords clairs pour les interventions en cas d'incident. Enfin, l'évolution du mal montre que fermer un service ou arrêter certains dirigeants n'est pas une garantie que la menace disparaîtra; les connaissances et les outils mutent souvent et réapparaissent sous d'autres formes ou entre les mains de nouveaux acteurs.
Dans la pratique, cela signifie que la lutte contre Ransomware doit combiner la persécution judiciaire avec des mesures proactives et une meilleure préparation des victimes potentielles. Alors que les enquêtes sur Shchukin et Kravchuk se poursuivent et que les autorités tentent de combler les lacunes qui permettent à ces économies criminelles, les organisations ont la responsabilité d'apprendre du passé récent et de renforcer leurs défenses. En bref, l'histoire du REvil rappelle que la sécurité numérique est un travail continu et collectif, dans lequel l'échange d'informations entre le secteur public et le secteur privé et la coopération internationale sont des éléments essentiels pour tenter d'éviter que les dommages ne se reproduisent à une échelle similaire.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...