Os investigadores alemães puseram nome e rosto a dois homens que colocam à frente de duas das campanhas de ransomware mais perturbadoras dos últimos anos. Segundo o Gabinete Federal de Investigação Criminal da Alemanha (BKA), os alegados cabecillas são Daniil Maksimovich Shchukin, de 31 anos, Anatoly Sergeevitsch Kravchuk, de 43. A instituição afirma que ambos lideraram, entre princípios de 2019 e pelo menos julho de 2021, operações por trás dos nomes GandCrab e REvil, duas famílias de ransomware que marcaram uma época por seu alcance e seu modelo de negócio criminosa.
A gravidade do caso é medida tanto pelo número de ataques como pelo dano econômico. A BKA atribui a esses indivíduos participação em pelo menos 130 extorsões dirigidas a empresas na Alemanha; pelo menos 25 vítimas teriam pago resgates por um total próximo de 2,2 milhões de dólares, enquanto o prejuízo económico global provocado pelas suas acções é estimado acima dos 40 milhões de dólares, segundo os números oferecidos pelas autoridades.
Para entender por que esses grupos foram tão eficazes é importante retroceder às origens. GandCrab apareceu no início de 2018 e, depois de alguns anos de atividade, seu principal operador anunciou sua retirada em 2019 alegando ter obtido enormes receitas durante sua trajetória. A estratégia de GandCrab - e a lição que deixou o crime organizado online - foi refinar o modelo de afiliados: um desenvolvedor central que fornece o código e a infraestrutura, e uma rede de afiliados que se encarregam de infiltrar redes e executar ataques. Nessa base nasceu REvil (também conhecido como Sodinokibi), formado em boa medida por antigos afiliados de GandCrab que mudaram táticas e contatos.
REvil escalou a extorsão adicionando táticas de pressão pública que acabaram por transformá-lo em uma ameaça global. Além da criptografia de arquivos, o grupo gestionou sites públicos onde filtrava dados roubados e chegou mesmo a leilãor informações sensíveis para forçar vítimas a pagar. Entre seus objetivos estiveram administrações locais no Texas, grandes corporações como Acer e um ataque de cadeia de fornecimento contra Kaseya que afetou cerca de 1.500 organizações clientes de fornecedores intermédios, um incidente que evidenciava a fragilidade de ecossistemas empresariais altamente interligados. As consequências dessa onda de ataques foram coletadas em múltiplos avisos e análises de segurança, entre eles os publicados por agências como CISA e por meios especializados em cibersegurança ( Aviso conjunto sobre Sodinokibi/REvil, e cobertura detalhada do incidente Kaseya em Krebs on Security).
A popularidade de REvil traduziu-se numa pausa forçada após o grande ataque a Kaseya: as operações foram interrompidas e, durante esse período, diferentes corpos policiais conseguiram acesso a infra-estruturas e monitoraram a atividade. A partir de então, foram realizadas investigações e detenções em vários países, incluindo uma rodada de prisões na Rússia e movimentos coordenados de autoridades internacionais. Essa pressão policial demonstrou que a rede criminosa tinha pontos vulneráveis, mas também revelou os limites da cooperação judicial internacional quando os supostos responsáveis residem em jurisdições difíceis de abordar do exterior ( Operações de coordenação internacional e acompanhamentos jornalísticos sobre as redesadas.
Em seu comunicado, a BKA indica que ambos os suspeitos se encontram supostamente na Rússia e pede a colaboração cidadã para os localizar. Para facilitar a identificação, publicaram fotografias e detalhes físicos, incluindo tatuagens, e criaram entradas no portal europeu de pessoas procuradas ( EU’s Most Wanted). A publicação deste tipo de dados obedece a uma dupla intenção: buscar testemunhas e, ao mesmo tempo, reduzir a capacidade de impunidade de grupos que tornaram o cibercrime em um negócio internacionalizado.
Além da caça de indivíduos concretos, a história de GandCrab e REvil deixa ensinamentos úteis para empresas e responsáveis pela segurança. Primeiro, o modelo de afiliados facilita uma rápida proliferação de técnicas: quando as ferramentas e os contatos circulam em fóruns clandestinos, novos atores emergem com facilidade. Em segundo lugar, que a combinação de criptografia e coação pública (filtrar ou leilões de dados) multiplica a pressão psicológica sobre as vítimas e aumenta a probabilidade de pagamento. E terceiro, que as cadeias de abastecimento continuam a ser um vetor crítico: um ataque contra um fornecedor pode encadear milhares de vítimas potenciais em questão de horas.
As respostas eficazes devem ser igualmente sistémicas: melhores práticas de ciber-higiene, segmentação de redes, cópias de segurança verificadas, planos de recuperação testados e uma colaboração mais fluida entre o sector privado e as autoridades. As agências de segurança e grupos de resposta publicam orientações que qualquer organização pode consultar para elevar o seu nível de defesa; os relatórios e avisos de entidades como a CISA, a Europol ou as grandes empresas de segurança são bons pontos de partida para atualizar políticas e procedimentos técnicos.
Por agora, o que existe é uma mistura de avanços operacionais por parte das forças de segurança e a realidade de que muitos dos cérebros atrás das operações continuam fora do alcance. A pesquisa do BKA e a difusão pública de dados identificativos buscam reduzir esse espaço de impunidade, mas também lembram que a luta contra o ransomware é uma tarefa longa que combina inteligência técnica, cooperação internacional e, não menos importante, consciência empresarial sobre os riscos e medidas que realmente diminuem a probabilidade de serem vítimas.
Se você quiser aprofundar os antecedentes técnicos e judiciais desses episódios, você pode consultar o comunicado da BKA sobre os indivíduos apontados nos links anteriores, as pesquisas jornalísticas que cobriram a retirada do primeiro líder de GandCrab e as análises técnicas e avisos oficiais que documentaram as táticas de REvil e as consequências do ataque a Kaseya, como os publicados por BleepingComputer, Krebs on Security e a aviso técnico da CISA.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...