德国联邦刑事警察局(BKA)近期发布重磅消息,正式公开了长期隐藏在幕后的俄罗斯勒索软件巨头“UNKN”的真实身份。31岁的Daniil Shchukin被指控在2019年至2021年间策划了至少130起针对德国企业的计算机破坏与勒索行动。作为两个暗网勒索软件团伙GandCrab和REvil的灵魂人物,他不仅开创了“双重勒索”(Double Extortion)这一流毒无穷的商业模式,更带领团队在短短几年内敛财数十亿美元。
德国卡尔斯鲁厄检察院(网络犯罪中心)和巴登-符腾堡州刑事警察局称:
丹尼尔·马克西莫维奇·舒金因涉嫌组织多起针对企业、公共机构和其他组织的有组织商业勒索软件勒索案而被国际通缉。至少从2019年初到2021年7月,他与其他同伙领导着全球最大的勒索软件团伙之一——GandCrab/REvil。犯罪分子索要巨额赎金以解密数据并阻止数据泄露。在某些情况下,他们还会大规模入侵数据,并威胁称,如果未支付赎金,就会将数据公之于众。
此次德国警方的“开盒”行动,不仅是法律层面的追责,更是对俄罗斯勒索软件避风港的一次有力反击。虽然Shchukin和同伙Kravchuk目前极有可能仍潜伏在俄罗斯境内,甚至可能受到了某种程度的“默许保护”,但BKA的这份通缉令意味着他们已彻底失去了在全球范围内洗钱和出行的自由。
UNKN是一位现年31岁的俄罗斯黑客,也是双重勒索的鼻祖
在网络安全界,“UNKN”(也称Unknown)曾是一个令人闻风丧胆的代号。他是俄罗斯勒索软件生态系统中最具影响力的核心人物之一。然而,根据BKA官方通缉页面披露的细节,这位曾不可一世的黑客真名叫作Daniil Maksimovich Shchukin(丹尼尔·马克西莫维奇·舒金),现年31岁。
德国警方调查发现,Shchukin与其43岁的同伙乌克兰裔俄罗斯公民Anatoly Sergeevitsch Kravchuk,在2019年到2021年这三年的黄金作案期内,犯有130项有组织商业勒索罪,通过精心设计的网络攻击,仅通过25起案件就直接敲诈了近200万欧元的赎金。但这只是“冰山一角”,据BKA估算,仅在德国境内,他们造成的直接经济损失就超过了3540万欧元,受害者涵盖了大量中型企业和公共机构。
如果要问Shchukin对勒索行业最大的“贡献”是什么,那无疑是他首创的“双重勒索”策略。
在早期的勒索软件时代,黑客只是单纯加密受害者的文件,受害者付钱拿密钥。但随着备份技术的普及,很多企业选择拒绝交钱。而UNKN领导的团队改变了逻辑:在加密之前,他们会先利用脚本静默窃取受害者的机密数据(Exfiltration)。
这意味着,即使你有备份,如果你不付钱,他们就会在名为“HappyBlog”的泄露站点上公开你的商业秘密和员工个人隐私。这种“不交钱就社死”的手段,直接将勒索的成功率提升到了一个新的维度。
勒索从未停歇,从GandCrab过渡到REvil
暗网勒索软件团伙GandCrab最早于2018年初出现,最初通过包含恶意附件的垃圾邮件传播。GandCrab在2019年宣布“金盆洗手”时,曾嚣张地宣称他们已经勒索了超过20亿美元。但这只不过是一次拙劣的品牌重塑(Rebranding)。
GandCrab消失后不久,REvil(又名Sodinokibi)便以几乎相同的底层代码架构高调亮相。REvil迅速成为全球最具攻击性的勒索软件组织之一,并在2021年被瓦解。其受害者包括Lady Gaga的律师事务所、美国总统唐纳德·特朗普等知名人士以及美国软件提供商Kaseya等大型公司。
Shchukin被认为是这两个组织的共同头目。他通过RaaS(Ransomware-as-a-Service,勒索软件即服务)模式,将网络攻击规模化。他提供恶意软件平台,招募全球的“盟友”(Affiliates)去入侵企业,最后双方按比例瓜分赃款。这种模式直接降低了技术门槛,导致2020年左右全球勒索攻击频率呈指数级上升。
从2019年至2021年那段疯狂的时期,这两人利用复杂的混淆技术(Obfuscation)和加密货币洗钱网络躲避追踪。2022年,俄罗斯联邦安全局(FSB)宣布逮捕了14名涉嫌REvil成员,但此案的法律程序进展缓慢。仅有8名嫌疑人在莫斯科出庭,面临与非法金融交易相关的指控,而庭审也多次延期。2024年,Sodinokibi/REvil的关联黑客24岁的乌克兰公民雅罗斯拉夫·瓦辛斯基(Yaroslav Vasinskyi,又名Rabotnik)因参与7亿美元勒索软件计划而被美国判刑。
如今,随着多国执法机构的协作,这些曾经的数字幽灵正在逐一显形。在此,“暗网下/AWX”告诫勒索软件团伙:在网络安全世界里,没有永远的匿名与隐身。无论使用了多么复杂的代理、VPN或者加密手段,只要在物理世界留下了痕迹,天网恢恢,疏而不漏,正义的审判迟早会到来。