Le BKA identifie Daniil Shchukin comme le chef de GandCrab et REvil. Avec son complice, il est lié à 130 extorsions et 35 millions d'euros de dégâts en Allemagne.
En bref
- Le BKA (police fédérale allemande) a publiquement identifié Daniil Shchukin, 31 ans, comme le leader des groupes ransomware GandCrab et REvil.
- Shchukin et Anatoly Kravchuk, 43 ans, sont liés à au moins 130 actes d'extorsion en Allemagne, causant 35 millions d'euros de dégâts.
- Les deux suspects sont localisés en Russie, rendant toute arrestation peu probable à court terme.
Les faits
Le 6 avril 2026, le Bundeskriminalamt (BKA) a franchi un pas symbolique dans la lutte contre le ransomware en publiant l'identité réelle de « UNKN », le leader historique des opérations GandCrab puis REvil. Derrière ce pseudonyme se cache Daniil Maksimovich Shchukin, 31 ans, originaire de la région de Krasnodar en Russie. Également connu sous les alias Oneiilk2, Oneillk22 et GandCrab, il a dirigé les deux opérations ransomware entre début 2019 et mi-2021. Source : BKA, Krebs on Security, The Hacker News.
Un second suspect, Anatoly Sergeevitsch Kravchuk, 43 ans, est identifié comme co-opérateur. Ensemble, ils auraient extorqué près de 2 millions d'euros sur deux douzaines de cyberattaques documentées en Allemagne, pour un préjudice économique total estimé à plus de 35 millions d'euros. GandCrab a été l'un des ransomwares les plus prolifiques de 2018-2019 avant de céder la place à REvil (aussi connu sous le nom Sodinokibi), qui a frappé des cibles majeures comme Kaseya et JBS en 2021.
Impact et exposition
Cette identification publique est avant tout un signal politique. GandCrab et REvil ont cessé leurs opérations respectives en 2019 et 2021, mais leurs opérateurs n'avaient jamais été formellement identifiés par les autorités occidentales. Le BKA lie les deux suspects à au moins 130 cas d'extorsion informatique sur le territoire allemand. Plusieurs anciens affiliés de REvil ont déjà été arrêtés en Roumanie et en Pologne, mais les cerveaux de l'opération sont restés hors d'atteinte en Russie.
Cette affaire illustre la difficulté structurelle de la lutte contre la cybercriminalité lorsque les suspects résident dans des juridictions non coopératives. Malgré les mandats d'arrêt internationaux, l'absence d'accord d'extradition avec la Russie rend toute arrestation improbable. Toutefois, l'identification publique limite les déplacements internationaux des suspects et envoie un message de dissuasion aux opérateurs actifs. On a vu récemment un schéma similaire avec les experts US qui ont plaidé coupable dans l'affaire BlackCat/ALPHV.
Recommandations
- Pour les organisations ayant été victimes de GandCrab ou REvil entre 2019 et 2021 : vérifier si les vecteurs d'entrée utilisés à l'époque ont été corrigés, car les mêmes vulnérabilités sont recyclées par d'autres groupes.
- Maintenir à jour les IoC (indicateurs de compromission) liés à l'écosystème Medusa et aux successeurs spirituels de REvil.
- Sensibiliser les équipes au fait que le modèle RaaS signifie que la disparition d'un groupe ne protège pas contre ses affiliés, qui migrent vers d'autres plateformes.
Pourquoi identifier publiquement des suspects qu'on ne peut pas arrêter ?
L'identification publique a plusieurs objectifs : elle restreint les déplacements internationaux des suspects (tout pays allié peut les arrêter), elle envoie un signal aux opérateurs actifs que l'anonymat n'est pas garanti, et elle permet aux victimes d'engager des procédures civiles. C'est aussi un levier diplomatique pour faire pression sur la Russie concernant l'hébergement de cybercriminels.
REvil est-il encore actif sous une autre forme ?
REvil a officiellement cessé ses opérations fin 2021 après des arrestations et des saisies d'infrastructure. Cependant, d'anciens affiliés ont migré vers d'autres plateformes RaaS comme BlackCat/ALPHV, LockBit et plus récemment Medusa. Le savoir-faire et les outils circulent entre groupes dans un écosystème très interconnecté.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
FIRESTARTER : APT persistant sur les pare-feu Cisco ASA
CISA et le NCSC britannique alertent sur FIRESTARTER, un implant déployé par l'APT UAT-4356 sur les pare-feu Cisco ASA et Firepower. Le malware survit aux patchs et aux reboots logiciels.
ADT confirme une fuite : ShinyHunters menace 10 M de clients
Le géant américain de la sécurité résidentielle ADT confirme une fuite après une attaque vishing sur Okta SSO. ShinyHunters revendique 10 millions de dossiers et fixe un ultimatum au 27 avril.
Pack2TheRoot CVE-2026-41651 : root Linux pour tous (8.8)
Une faille critique dans PackageKit (CVE-2026-41651, CVSS 8.8) permet à tout utilisateur Linux non privilégié d'obtenir root sur la majorité des distributions, du serveur Ubuntu LTS au poste Fedora.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire