En bref

  • Le BKA (police fédérale allemande) a publiquement identifié Daniil Shchukin, 31 ans, comme le leader des groupes ransomware GandCrab et REvil.
  • Shchukin et Anatoly Kravchuk, 43 ans, sont liés à au moins 130 actes d'extorsion en Allemagne, causant 35 millions d'euros de dégâts.
  • Les deux suspects sont localisés en Russie, rendant toute arrestation peu probable à court terme.

Les faits

Le 6 avril 2026, le Bundeskriminalamt (BKA) a franchi un pas symbolique dans la lutte contre le ransomware en publiant l'identité réelle de « UNKN », le leader historique des opérations GandCrab puis REvil. Derrière ce pseudonyme se cache Daniil Maksimovich Shchukin, 31 ans, originaire de la région de Krasnodar en Russie. Également connu sous les alias Oneiilk2, Oneillk22 et GandCrab, il a dirigé les deux opérations ransomware entre début 2019 et mi-2021. Source : BKA, Krebs on Security, The Hacker News.

Un second suspect, Anatoly Sergeevitsch Kravchuk, 43 ans, est identifié comme co-opérateur. Ensemble, ils auraient extorqué près de 2 millions d'euros sur deux douzaines de cyberattaques documentées en Allemagne, pour un préjudice économique total estimé à plus de 35 millions d'euros. GandCrab a été l'un des ransomwares les plus prolifiques de 2018-2019 avant de céder la place à REvil (aussi connu sous le nom Sodinokibi), qui a frappé des cibles majeures comme Kaseya et JBS en 2021.

Impact et exposition

Cette identification publique est avant tout un signal politique. GandCrab et REvil ont cessé leurs opérations respectives en 2019 et 2021, mais leurs opérateurs n'avaient jamais été formellement identifiés par les autorités occidentales. Le BKA lie les deux suspects à au moins 130 cas d'extorsion informatique sur le territoire allemand. Plusieurs anciens affiliés de REvil ont déjà été arrêtés en Roumanie et en Pologne, mais les cerveaux de l'opération sont restés hors d'atteinte en Russie.

Cette affaire illustre la difficulté structurelle de la lutte contre la cybercriminalité lorsque les suspects résident dans des juridictions non coopératives. Malgré les mandats d'arrêt internationaux, l'absence d'accord d'extradition avec la Russie rend toute arrestation improbable. Toutefois, l'identification publique limite les déplacements internationaux des suspects et envoie un message de dissuasion aux opérateurs actifs. On a vu récemment un schéma similaire avec les experts US qui ont plaidé coupable dans l'affaire BlackCat/ALPHV.

Recommandations

  • Pour les organisations ayant été victimes de GandCrab ou REvil entre 2019 et 2021 : vérifier si les vecteurs d'entrée utilisés à l'époque ont été corrigés, car les mêmes vulnérabilités sont recyclées par d'autres groupes.
  • Maintenir à jour les IoC (indicateurs de compromission) liés à l'écosystème Medusa et aux successeurs spirituels de REvil.
  • Sensibiliser les équipes au fait que le modèle RaaS signifie que la disparition d'un groupe ne protège pas contre ses affiliés, qui migrent vers d'autres plateformes.

Pourquoi identifier publiquement des suspects qu'on ne peut pas arrêter ?

L'identification publique a plusieurs objectifs : elle restreint les déplacements internationaux des suspects (tout pays allié peut les arrêter), elle envoie un signal aux opérateurs actifs que l'anonymat n'est pas garanti, et elle permet aux victimes d'engager des procédures civiles. C'est aussi un levier diplomatique pour faire pression sur la Russie concernant l'hébergement de cybercriminels.

REvil est-il encore actif sous une autre forme ?

REvil a officiellement cessé ses opérations fin 2021 après des arrestations et des saisies d'infrastructure. Cependant, d'anciens affiliés ont migré vers d'autres plateformes RaaS comme BlackCat/ALPHV, LockBit et plus récemment Medusa. Le savoir-faire et les outils circulent entre groupes dans un écosystème très interconnecté.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit