Niemcy ujawniają „UNKN”. Domniemany lider REvil i GandCrab zidentyfikowany

Wprowadzenie do problemu / definicja

Ransomware od lat pozostaje jednym z najpoważniejszych zagrożeń dla firm, instytucji publicznych i operatorów infrastruktury krytycznej. Modele działania rozwijane przez grupy GandCrab i REvil wyznaczyły standardy dla nowoczesnych kampanii wymuszeń cyfrowych, łącząc szyfrowanie danych z presją reputacyjną i finansową.

Najnowsze ustalenia niemieckich organów ścigania wskazują na identyfikację osoby występującej pod pseudonimem „UNKN” lub „UNKNOWN”, łączonej z kierowaniem obiema operacjami. To istotny krok nie tylko z punktu widzenia śledczego, ale również analitycznego, ponieważ wzmacnia wcześniejsze hipotezy o ciągłości pomiędzy ekosystemami GandCrab i REvil.

W skrócie

Niemiecki Federalny Urząd Kryminalny poinformował o ujawnieniu tożsamości osoby podejrzewanej o kierowanie strukturami ransomware GandCrab i REvil. Według śledczych chodzi o 31-letniego obywatela Rosji, Daniila Maksimowicza Szczukina.

Wraz z drugim podejrzanym miał on odpowiadać za dziesiątki ataków, wymuszenia sięgające blisko 2 mln euro oraz szkody gospodarcze przekraczające 35 mln euro. Sprawa ma znaczenie operacyjne, ponieważ pokazuje, iż choćby silnie zakonspirowane grupy cyberprzestępcze pozostawiają ślady umożliwiające ich identyfikację.

Kontekst / historia

GandCrab pojawił się na początku 2018 roku i gwałtownie stał się jednym z najbardziej wpływowych projektów ransomware-as-a-service. Model ten umożliwiał operatorom rozwój złośliwego systemu i infrastruktury, a afiliantom prowadzenie włamań oraz udział w zyskach z okupów.

Po formalnym wygaszeniu GandCrab w 2019 roku na pierwszy plan wysunął się REvil, znany również jako Sodinokibi. W środowisku analityków bezpieczeństwa od dawna zakładano, iż nowa operacja była reorganizacją lub naturalną kontynuacją wcześniejszego modelu biznesowego rozwiniętego przez GandCrab.

REvil zasłynął z ataków na organizacje o wysokich przychodach oraz z agresywnego stosowania podwójnego wymuszenia. Oznaczało to nie tylko szyfrowanie systemów, ale również wcześniejszą kradzież danych i groźbę ich ujawnienia w przypadku odmowy zapłaty.

Szczególny rozgłos grupa zdobyła po ataku na Kaseya w lipcu 2021 roku. Incydent ten pokazał, jak niebezpieczne mogą być kampanie wymierzone w dostawców usług technologicznych, ponieważ kompromitacja jednego podmiotu może przełożyć się na zakłócenia u wielu klientów jednocześnie.

Analiza techniczna

Z technicznego punktu widzenia zarówno GandCrab, jak i REvil były dojrzałymi platformami ransomware-as-a-service. O ich skuteczności decydowało nie tylko samo szyfrowanie danych, ale cały ekosystem operacyjny obejmujący wiele etapów ataku.

• pozyskiwanie dostępu początkowego do środowiska ofiary,
• eskalację uprawnień i ruch boczny w sieci,
• eksfiltrację danych przed uruchomieniem szyfrowania,
• obsługę negocjacji i płatności w kryptowalutach,
• rozwój kolejnych wersji malware’u w celu omijania detekcji.

Kluczowe było rozdzielenie ról pomiędzy operatorów i afiliantów. Operatorzy odpowiadali za rozwój kodu, infrastrukturę i zaplecze płatnicze, natomiast afilianci dostarczali dostęp do zaatakowanych organizacji. Taki model zwiększał skalowalność i pozwalał szybciej monetyzować włamania.

Istotną zmianą było również przejście od prostego szyfrowania do podwójnego szantażu. choćby jeżeli ofiara dysponowała kopią zapasową i mogła odtworzyć systemy, pozostawało ryzyko wycieku danych, utraty zaufania klientów oraz konsekwencji prawnych i regulacyjnych.

Ustalenia niemieckich śledczych wzmacniają ocenę, iż pomiędzy GandCrab a REvil istniały silne powiązania osobowe i operacyjne. W praktyce potwierdza to, iż ekosystem ransomware nie opiera się wyłącznie na nazwach grup, ale na relacjach, narzędziach, infrastrukturze i wyspecjalizowanym know-how.

Konsekwencje / ryzyko

Ujawnienie tożsamości domniemanego lidera nie oznacza automatycznego spadku zagrożenia. W świecie ransomware najcenniejszym zasobem pozostają kompetencje, procedury operacyjne, kontakty z afiliantami oraz zdolność do szybkiego odbudowania działalności pod nową marką.

Dla organizacji oznacza to utrzymujące się ryzyko w kilku obszarach. Po pierwsze, model ransomware-as-a-service przez cały czas obniża próg wejścia dla przestępców i sprzyja szybkiemu odtwarzaniu struktur atakujących. Po drugie, szczególnie groźne pozostają ataki na dostawców usług, integratorów i partnerów technologicznych. Po trzecie, podwójne wymuszenie sprawia, iż choćby skuteczne mechanizmy backupu nie eliminują całkowicie kosztu incydentu.

Z perspektywy obrony ważne jest również to, iż grupy ransomware działają jak przedsiębiorstwa. Inwestują w automatyzację, rozwój kodu, specjalizację ról i poprawę efektywności kampanii, co przekłada się na coraz bardziej przewidywalny, ale i skuteczny model ataku.

Rekomendacje

Sprawa związana z identyfikacją „UNKN” przypomina, iż ochrona przed ransomware wymaga podejścia warstwowego i operacyjnego. Skuteczna obrona nie sprowadza się do wdrożenia jednego produktu bezpieczeństwa, ale wymaga połączenia kontroli technicznych, monitoringu i gotowości reagowania.

• wdrożenie silnego MFA dla dostępu zdalnego i administracyjnego,
• ograniczenie ekspozycji usług publicznych oraz segmentacja sieci,
• regularne zarządzanie podatnościami i szybkie łatanie systemów brzegowych,
• monitorowanie prób eksfiltracji danych i nietypowego ruchu lateralnego,
• izolacja kopii zapasowych oraz ochrona ich przed usunięciem lub modyfikacją,
• wdrożenie EDR/XDR z regułami wykrywania zachowań typowych dla ransomware,
• przegląd kont uprzywilejowanych i ograniczenie nadmiarowych uprawnień,
• testowanie procedur reagowania na incydenty, także w scenariuszu wycieku danych,
• ocena ryzyka po stronie dostawców i partnerów technologicznych,
• przygotowanie planów kryzysowych obejmujących aspekty prawne, operacyjne i komunikacyjne.

W praktyce najważniejsze znaczenie ma wykrycie intruza przed etapem szyfrowania. Współczesne kampanie ransomware zostawiają ślady dużo wcześniej, między innymi podczas rozpoznania środowiska, przejmowania kont uprzywilejowanych, używania legalnych narzędzi administracyjnych czy uzyskiwania masowego dostępu do udziałów sieciowych.

Podsumowanie

Identyfikacja osoby łączonej z pseudonimem „UNKN” to istotny rozwój w analizie globalnego ekosystemu ransomware i kolejny sygnał, iż GandCrab oraz REvil mogły być elementami tej samej lub silnie powiązanej struktury operacyjnej. Dla śledczych to cenny sukces, a dla obrońców potwierdzenie, iż mapowanie zaplecza cyberprzestępczego ma realną wartość strategiczną.

Jednocześnie sprawa nie zmienia podstawowego faktu: ransomware pozostaje modelem wysoce adaptacyjnym, odpornym na rozbicie pojedynczej marki i przez cały czas bardzo groźnym dla organizacji o rozbudowanej infrastrukturze oraz złożonym łańcuchu dostaw. Dlatego priorytetem powinno być skrócenie czasu detekcji, ograniczanie powierzchni ataku i gotowość do działania jeszcze przed etapem szyfrowania danych.

Źródła

• Krebs on Security – Germany Doxes “UNKN,” Head of RU Ransomware Gangs REvil, GandCrab
• BKA – komunikaty dotyczące osób powiązanych z działalnością ransomware
• U.S. Department of Justice – materiały dotyczące przejęcia środków powiązanych z działalnością REvil
• CISA – Stop Ransomware Guide
• Europol – materiały analityczne dotyczące ransomware