Le Bureau fédéral des enquêtes criminelles d'Allemagne (BKA) a identifié deux citoyens russes comme les chefs présumés derrière certaines des opérations Ransomware les plus saines entre 2019 et 2021. Selon les fiches d'information publiées par l'institution elle-même, ces Daniil Maksimovich Chuchukine 31 ans; et Anatoly Sergeevitsch Kravchuk 43. La recherche BKA place son activité à l'avant-garde des familles de malware GandCrab et Revil de 2019 au moins à juillet 2021.
Le contexte de ces bandes aide à comprendre pourquoi l'attention internationale s'est concentrée sur elles. GandCrab a rompu en 2018 et, après des mois d'extorsion et un modèle d'exploitation basé sur une filiale, sa prétendue tête a annoncé une « retraite » en 2019. Cette fin du cycle n'a pas été inoculée: dans son retrait, elle s'est vantée de millions de profits, et peu de temps après elle a émergé le mal (également connu sous le nom de Sodinokibi), formé par d'anciens affiliés et opérateurs qui ont hérité de tactiques et de structures commerciales.
Le modèle d'affaires de ces groupes était simple et efficace : recruter des membres, offrir une infrastructure et facturer une commission pour chaque sauvetage. Avec le temps, REvil a élargi sa tactique pour faire pression sur les victimes : en plus du cryptage des systèmes, ils ont publié des données sur les sites de filtrage et organisé des enchères d'informations volées, une pratique conçue pour forcer les paiements même lorsque le cryptage pourrait être inversé.
Les conséquences en Allemagne, selon le BKA, ont été particulièrement graves: les chercheurs attribuent à Shchukin et Kravchuk la participation dans au moins 130 cas d'extorsion dirigée contre des entreprises locales. Sur ce nombre, au moins 25 victimes ont effectué des paiements d'un montant d'environ 2,2 millions de dollars, tandis que le total des dommages causés par leurs campagnes est estimé à plus de 40 millions de dollars. L'ampleur mondiale du mal est cependant mieux appréciée en rappelant les incidents internationaux tels que les attaques contre les gouvernements locaux au Texas, l'intrusion contre Acer ou, surtout, l'incident massif contre la plateforme de gestion de Kaseya VSA, qui a produit un effet domino dans environ 1 500 organisations clientes.
La séquence entre GandCrab et Revil montre également comment une cybermafia peut évoluer: GandCrab a fermé sa scène avec la promesse d'un retrait après un soi-disant butin millionnaire, et Revil a profité de l'expérience de ses affiliés pour professionnaliser l'offre criminelle et devenir l'une des opérations les plus lucratives et visibles de la décennie. Pour contextualiser la gravité de la campagne contre Kaseya et son impact sur la chaîne d'approvisionnement, il existe des rapports techniques et des avis d'agences telles que la CISA Alors que les détails journalistiques des mouvements et des déclarations des groupes ont été suivis dans des médias spécialisés tels que Calculateur.
Après l'activité la plus intense du Révil en 2021 et l'impact d'opérations telles que Kaseya, les forces de l'ordre ont commencé à interférer avec leurs infrastructures. Il y a eu à certains moments des interruptions de serveurs et des actions coordonnées par différents pays, et en janvier 2022, plusieurs suspects liés au réseau ont été arrêtés en Russie; toutefois, il y a des rapports qui indiquent des libérations ultérieures après avoir purgé des peines pour différents crimes, tels que le cardage.
La BKA souligne que les deux sont probablement actuellement sur le territoire russe et a demandé la collaboration des citoyens pour recueillir des indices sur leur localisation. À cette fin, la police allemande a rendu publiques des photographies et des détails d'identification, y compris des tatouages, dans le but de faciliter leur localisation. En outre, des tickets pour le portail européen le plus recherché ont été créés pour accroître la visibilité internationale de la recherche, par exemple dans le Site le plus recherché de l'UE.
Au-delà de la poursuite d'individus spécifiques, cette affaire met en évidence deux réalités inconfortables : la professionnalisation de la cybercriminalité et la difficulté d'assumer légalement la responsabilité de ses auteurs lorsqu'ils opèrent à partir de pays qui, pour différentes raisons, ne coopèrent pas pleinement avec la recherche internationale. Alors que les services de police échangent des données et demandent la collaboration des citoyens, les entreprises et les administrations continuent d'investir dans des mesures préventives et des plans d'intervention qui réduisent la dépendance à payer les renflouements.
La leçon Il est double: d'une part, la persécution et la coopération internationale peuvent identifier les auteurs présumés et affecter leurs opérations; d'autre part, l'architecture même de la criminalité informatique - filiales, marchés de services et sortie de fonds par des canaux opaques - fait que le risque persiste même lorsque certains dirigeants sont exposés. Pour ceux qui gèrent la sécurité dans les organisations, le message est clair : renforcer les copies, segmenter les réseaux et préparer des plans d'urgence n'est plus une bonne pratique pour devenir la première ligne de défense contre des opérations de plus en plus sophistiquées.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...