A polícia criminal federal da Alemanha (BKA) declarou publicamente o que durante anos foi um mistério nos círculos de cibersegurança: a identidade real do principal rosto atrás da família de ransomware REvil, também conhecida como Sodinokibi. Após uma investigação que combina técnicas forenses digitais e cooperação internacional, as autoridades assinalaram um indivíduo que operava sob o pseudônimo UNKN, e que agora figura na lista de procurados como Daniil Maksimovich Shchukin, um cidadão russo de 31 anos. O anúncio foi recolhido por pesquisadores e jornalistas especializados, entre eles Brian Krebs, e formalizado nos comunicados da própria BKA.
Segundo as acusações, Shchukin não atuava sozinho: teria sido o representante público e um dos líderes operacionais da rede de extorsão que, em seu momento, alcançou grande notoriedade por seu modelo de negócio tipo "ransomware-as-a-service" (RaaS). Junto com ele, as autoridades identificaram a Anatólia Sergeevitsch Kravchuk, de 43 anos e nascido na cidade de Makiivka, apontado como o desenvolvedor que contribuiu para o núcleo técnico do malware. Ambos estão envolvidos em uma longa cadeia de incidentes em território alemão, onde as pesquisas atribuem ao grupo mais de uma centena de ataques e perdas econômicas milionárias para as vítimas.
O esquema RaaS que empregava REvil permitia aos seus operadores centralizar o desenvolvimento do código malicioso e ao mesmo tempo recrutar afiliados que lançavam as campanhas e negociavam resgates. Essa estrutura facilitou a expansão global do grupo e sua capacidade para alcançar objetivos de alto perfil, como grandes empresas do setor alimentar e fornecedores de serviços gerenciados que foram vítimas em anos recentes. O modelo profissionalizado e a externalização da execução fizeram de REvil uma das ameaças mais rentáveis e prejudiciais do cibercrime moderno.
Na Alemanha, os números que a BKA atribui ao dueto são contundentes: cerca de 130 ataques imputados nesse país, dos quais uma fracção desembocó em pagamentos de resgate (cerca de 25 casos com pagamentos que somam quase dois milhões de euros) e danos económicos totais que, segundo as estimativas policiais, ultrapassam os 30 e cinco milhões de euros. Estes valores não reflectem apenas o custo directo dos resgates, mas também as perdas operacionais, de reputação e as despesas associadas à recuperação e mitigação das intrusões.
A história de REvil é também um mapa de como o cibercrime pode se fragmentar e reaparecer. Originado como evolução do conhecido GandCrab, o grupo alcançou seu apogeu entre 2019 e 2021, desaparecendo brevemente em meados de 2021 e voltando a deixar rastro até que, no outono desse mesmo ano, operações policiais contra sua infraestrutura e colaborações internacionais complicaram sua visibilidade pública. Essa conjuntura motivou prisões e encerramentos de sites de filtragem de dados em vários países, uma resposta que revelou a importância da cooperação entre forças de segurança. Para compreender o impacto mais amplo do fenômeno e as recomendações para organizações, é útil consultar recursos de referência como os publicados pela CISA.
A evolução do caso seguiu com manobras legais e prisões que se espalharam em diferentes países. Autoridades romenas e russas anunciaram detenções de pessoas ligadas à rede, e em 2022 o serviço de segurança russo (FSB) fez público que tinha desarticulado membros relacionados com a família REvil. Relatórios posteriores indicaram condenações penais para vários envolvidos, um desenvolvimento recolhido na imprensa internacional, incluindo a cobertura Kommersant sobre sentenças proferidas em 2024.
Além dos nomes e números, o caso inclui episódios que ilustram a natureza humana por trás de muitos cibercriminais: em uma entrevista realizada anos atrás, o ator que usava o alias UNKN relatou um passado de privações e descreveu sua passagem desde a marginalidade até um nível de vida que ele mesmo qualificou de próspero, além de atribuir à organização uma rede ampla de afiliados. Essa mistura de narrativa pessoal, habilidades técnicas e oportunidades criminosas explica em parte por que grupos como REvil puderam recrutar talento e escalar suas operações com rapidez. Para ler entrevistas e análise em profundidade sobre esses protagonistas, pode-se consultar trabalhos de pesquisa jornalística e relatórios especializados, como os publicados em The Record e outras plataformas de segurança.
O caso também deixa lições práticas para empresas e decisores políticos. Em primeiro lugar, a atribuição e detenção de indivíduos no ciberespaço requer uma combinação de técnicas forenses, inteligência colaborativa e vontade política transnacional. Em segundo lugar, a persistência de modelos RaaS destaca a necessidade de investir na prevenção: segmentação de redes, cópias de segurança fora de linha, formação do pessoal e acordos claros para resposta a incidentes. Finalmente, a evolução do REvil demonstra que fechar um serviço ou prender alguns cabeços não é garantia de que a ameaça desapareça; frequentemente, os conhecimentos e ferramentas mutam e reaparecem sob outras formas ou nas mãos de novos atores.
Na prática, isso implica que o combate ao ransomware deve combinar a perseguição judicial com medidas proativas e melhor preparação das vítimas potenciais. Enquanto as investigações sobre Shchukin e Kravchuk continuam a decorrer e as autoridades tentam colmatar as lacunas que permitem estas economias criminosas, as organizações têm a responsabilidade de aprender com o passado recente e reforçar as suas defesas. A história de REvil é, em última análise, um lembrete de que a segurança digital é um trabalho contínuo e coletivo, na qual o intercâmbio de informações entre público e privado e a cooperação internacional são peças-chave para tentar evitar que se repitam danos de escala semelhante.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...