O Escritório Federal de Pesquisa Criminal da Alemanha (BKA) apontou dois cidadãos russos como os supostos cabecillas atrás de algumas das operações de ransomware mais sonadas entre 2019 e 2021. Segundo as fichas publicadas pela própria instituição, trata-se de Daniil Maksimovich Shchukin, de 31 anos, Anatoly Sergeevitsch Kravchuk, de 43. A pesquisa do BKA coloca sua atividade à frente das famílias de malware GandCrab e REvil desde, pelo menos, princípios de 2019 até julho de 2021.
Os antecedentes destas bandas ajudam a entender por que a atenção internacional se centrou neles. GandCrab invadiu 2018 e, após meses de extorsões e um modelo de operações baseado em afiliados, seu suposto cabecilla anunciou uma “jubilação” em 2019. Aquele fim de ciclo não foi inocuo: em sua retirada se jactou de benefícios milionários, e pouco depois surgiu REvil (também conhecido como Sodinokibi), formado por antigos afiliados e operadores que herdaram táticas e estruturas comerciais.
O modelo de negócio destes grupos foi simples e eficaz: recrutar afiliados, oferecer uma infraestrutura e cobrar uma comissão sobre cada resgate. Com o tempo REvil ampliou suas táticas para pressionar as vítimas: além da criptografia de sistemas, publicavam dados em sites de vazamentos e organizavam leilões de informações roubadas, uma prática projetada para forçar pagamentos mesmo quando a criptografia poderia ser invertida.
As consequências na Alemanha, segundo o BKA, foram especialmente graves: os pesquisadores atribuem a Shchukin e Kravchuk a participação em pelo menos 130 casos de extorsão dirigidos a empresas locais. Dessas ações, pelo menos 25 vítimas fizeram pagamentos que somam cerca de 2,2 milhões de dólares, enquanto os danos totais decorrentes de suas campanhas são estimados em mais de 40 milhões de dólares. A magnitude global de REvil, no entanto, é melhor observada quando se lembra de incidentes internacionais como os ataques a governos locais no Texas, a intrusão contra Acer ou, acima de tudo, o incidente massivo contra a plataforma de gestão VSA de Kaseya, que produziu um efeito dominó em cerca de 1.500 organizações clientes.
A sequência entre GandCrab e REvil também mostra como uma cibermafia pode evoluir: GandCrab fechou sua etapa com a promessa de uma retirada após um suposto botín milionário, e REvil aproveitou a experiência de seus afiliados para profissionalizar a oferta criminal e se tornar uma das operações mais lucrativas e visíveis da década. Para contextualizar a gravidade da campanha contra Kaseya e seu impacto na cadeia de fornecimento, existem relatórios técnicos e avisos de agências como a CISA, enquanto o detalhe jornalístico sobre os movimentos e declarações dos grupos se seguiu em meios especializados como BleepingComputer.
Após a atividade mais intensa de REvil em 2021 e o impacto de operações como a de Kaseya, as forças da ordem começaram a interferir em sua infraestrutura. Em alguns momentos houve interrupções de servidores e ações coordenadas por diferentes países, e em janeiro de 2022 se registraram detenções na Rússia que afetaram vários suspeitos ligados à rede; no entanto, há relatos que indicam liberações posteriores após cumprir condenações por crimes distintos, como carding.
O BKA aponta que ambos investigados provavelmente se encontram atualmente em território russo e pediu a colaboração cidadã para coletar pistas sobre seu paradeiro. Para esse fim, a polícia alemã fez fotos e detalhes identificativos, incluindo imagens de tatuagens, com a intenção de facilitar sua localização. Além disso, foram criados itens no portal europeu de mais procurados para ampliar a visibilidade internacional da busca, por exemplo no sítio EU Most Wanted.
Além de perseguir indivíduos concretos, esse caso volta a colocar em primeiro plano duas realidades incómodas: a profissionalização do crime cibernético e a dificuldade para responsabilizar legalmente seus autores quando operam desde países que, por diferentes razões, não colaboram plenamente com as pesquisas internacionais. Enquanto as agências policiais trocam dados e pedem a colaboração da cidadania, as empresas e as administrações continuam a confrontar a necessidade de investir em medidas preventivas e em planos de resposta que reduzam a dependência de pagar resgates.
A lição É duplo: por um lado, a perseguição e a cooperação internacional podem identificar os supostos responsáveis e afetar as suas operações; por outro, a própria arquitetura do crime informático, afiliados, mercados de serviços e saída de fundos através de canais opacos,faz que o risco persista mesmo quando líderes concretos ficam a descoberto. Para aqueles que gerem segurança em organizações, a mensagem é clara: reforçar cópias, segmentar redes e preparar planos de contingência deixa de ser uma boa prática para se tornar a primeira linha de defesa contra operações cada vez mais sofisticadas.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...