Le BKA identifie Daniil Shchukin comme le chef de GandCrab et REvil. Avec son complice, il est lié à 130 extorsions et 35 millions d'euros de dégâts en Allemagne.
En bref
- Le BKA (police fédérale allemande) a publiquement identifié Daniil Shchukin, 31 ans, comme le leader des groupes ransomware GandCrab et REvil.
- Shchukin et Anatoly Kravchuk, 43 ans, sont liés à au moins 130 actes d'extorsion en Allemagne, causant 35 millions d'euros de dégâts.
- Les deux suspects sont localisés en Russie, rendant toute arrestation peu probable à court terme.
Les faits
Le 6 avril 2026, le Bundeskriminalamt (BKA) a franchi un pas symbolique dans la lutte contre le ransomware en publiant l'identité réelle de « UNKN », le leader historique des opérations GandCrab puis REvil. Derrière ce pseudonyme se cache Daniil Maksimovich Shchukin, 31 ans, originaire de la région de Krasnodar en Russie. Également connu sous les alias Oneiilk2, Oneillk22 et GandCrab, il a dirigé les deux opérations ransomware entre début 2019 et mi-2021. Source : BKA, Krebs on Security, The Hacker News.
Un second suspect, Anatoly Sergeevitsch Kravchuk, 43 ans, est identifié comme co-opérateur. Ensemble, ils auraient extorqué près de 2 millions d'euros sur deux douzaines de cyberattaques documentées en Allemagne, pour un préjudice économique total estimé à plus de 35 millions d'euros. GandCrab a été l'un des ransomwares les plus prolifiques de 2018-2019 avant de céder la place à REvil (aussi connu sous le nom Sodinokibi), qui a frappé des cibles majeures comme Kaseya et JBS en 2021.
Impact et exposition
Cette identification publique est avant tout un signal politique. GandCrab et REvil ont cessé leurs opérations respectives en 2019 et 2021, mais leurs opérateurs n'avaient jamais été formellement identifiés par les autorités occidentales. Le BKA lie les deux suspects à au moins 130 cas d'extorsion informatique sur le territoire allemand. Plusieurs anciens affiliés de REvil ont déjà été arrêtés en Roumanie et en Pologne, mais les cerveaux de l'opération sont restés hors d'atteinte en Russie.
Cette affaire illustre la difficulté structurelle de la lutte contre la cybercriminalité lorsque les suspects résident dans des juridictions non coopératives. Malgré les mandats d'arrêt internationaux, l'absence d'accord d'extradition avec la Russie rend toute arrestation improbable. Toutefois, l'identification publique limite les déplacements internationaux des suspects et envoie un message de dissuasion aux opérateurs actifs. On a vu récemment un schéma similaire avec les experts US qui ont plaidé coupable dans l'affaire BlackCat/ALPHV.
Recommandations
- Pour les organisations ayant été victimes de GandCrab ou REvil entre 2019 et 2021 : vérifier si les vecteurs d'entrée utilisés à l'époque ont été corrigés, car les mêmes vulnérabilités sont recyclées par d'autres groupes.
- Maintenir à jour les IoC (indicateurs de compromission) liés à l'écosystème Medusa et aux successeurs spirituels de REvil.
- Sensibiliser les équipes au fait que le modèle RaaS signifie que la disparition d'un groupe ne protège pas contre ses affiliés, qui migrent vers d'autres plateformes.
Pourquoi identifier publiquement des suspects qu'on ne peut pas arrêter ?
L'identification publique a plusieurs objectifs : elle restreint les déplacements internationaux des suspects (tout pays allié peut les arrêter), elle envoie un signal aux opérateurs actifs que l'anonymat n'est pas garanti, et elle permet aux victimes d'engager des procédures civiles. C'est aussi un levier diplomatique pour faire pression sur la Russie concernant l'hébergement de cybercriminels.
REvil est-il encore actif sous une autre forme ?
REvil a officiellement cessé ses opérations fin 2021 après des arrestations et des saisies d'infrastructure. Cependant, d'anciens affiliés ont migré vers d'autres plateformes RaaS comme BlackCat/ALPHV, LockBit et plus récemment Medusa. Le savoir-faire et les outils circulent entre groupes dans un écosystème très interconnecté.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Articles connexes :
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Meta licencie 8 000 personnes le 20 mai pour financer l'IA
Meta démarre le 20 mai 2026 le licenciement de 8 000 personnes (10 % des effectifs) pour financer un capex IA 2026 de 115 à 135 milliards de dollars.
Gemini 3.1 Flash-Lite GA : Google casse les prix de l'IA
Google bascule Gemini 3.1 Flash-Lite en disponibilité générale le 7 mai 2026 à 0,25 $ par million de tokens, ciblant les workloads agentiques à fort volume.
vm2 : 12 CVE critiques, le bac à sable Node.js explose
Douze vulnérabilités critiques publiées le 7 mai 2026 permettent l'évasion totale du sandbox vm2, librairie Node.js déployée dans des milliers de plateformes SaaS et serverless.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire