🛡 CIBERCRIMEN 🛡

Alemania revela la identidad de “UNKN”, líder de las bandas de ransomware rusas REvil y GandCrab.

⏰6 de abril de 2026🛡CyberObservatorio

Idioma

◢ CIBERCRIMEN ◣

Alemania revela la identidad de “UNKN”, líder de las bandas de ransomware rusas REvil y GandCrab.

⟫ 06/04/2026 ⟫ BrianKrebs

Fuente: Krebs on Security

**La Revelación del Hacker "UNKN": Un Análisis de Daniil Maksimovich Shchukin y su Impacto en el Cibercrimen**

En el panorama actual de la ciberseguridad, el surgimiento y la identificación de figuras clave en el hacking y el cibercrimen son eventos de gran relevancia. Daniil Maksimovich Shchukin, conocido en el mundo del cibercrimen como "UNKN", se ha convertido en un nombre destacado tras ser identificado como uno de los líderes de los grupos de ransomware rusos GandCrab y REvil. Esta revelación no solo arroja luz sobre la identidad de un hacker que ha operado en la clandestinidad, sino que también destaca la creciente amenaza que representan las organizaciones de ransomware a nivel global. Las implicaciones de sus acciones han afectado a miles de empresas y ciudadanos, dejando una estela de extorsión y daño económico que asciende a millones de euros.

Las autoridades alemanas han señalado que Shchukin, de 31 años, lideró a ambos grupos de cibercrimen y participó en al menos 130 incidentes de sabotaje y extorsión informática en Alemania entre 2019 y 2021. En un informe emitido por la Policía Criminal Federal de Alemania (BKA), se revela que junto a otro individuo ruso, Anatoly Sergeevitsch Kravchuk, se apropiaron de casi 2 millones de euros a través de ataques cibernéticos que causaron daños económicos superiores a los 35 millones de euros. Este nivel de actividad delictiva ilustra la complejidad y el alcance de las redes de ransomware, que han evolucionado hasta convertirse en verdaderas corporaciones criminales.

El grupo GandCrab, del que Shchukin fue una figura central, se destacó por implementar la técnica de doble extorsión: los atacantes exigían un pago tanto para proporcionar la clave necesaria para desbloquear los sistemas hackeados como para garantizar que no se publicara la información robada. Esta práctica no solo incrementó las ganancias de los cibercriminales, sino que también planteó serios desafíos para las organizaciones que luchan contra el cibercrimen.

En febrero de 2023, el Departamento de Justicia de los Estados Unidos incluyó el nombre de Shchukin en una petición para la confiscación de varias cuentas de criptomonedas relacionadas con las actividades del grupo REvil, indicando que una de las billeteras digitales asociadas a él contenía más de 317,000 dólares en criptomonedas obtenidas ilícitamente. Este hallazgo es un claro indicador de la intersección entre el cibercrimen y el uso de criptomonedas como medio de lavado de dinero y ocultación de activos.

El programa de afiliados de GandCrab, que comenzó en enero de 2018, permitió a hackers independientes obtener grandes porcentajes de ganancias por acceder a cuentas de usuarios en grandes corporaciones. A medida que los atacantes ganaban acceso, robaban cantidades significativas de documentos sensibles, lo que les permitió expandir sus operaciones y mejorar la calidad de su malware. A lo largo de su existencia, GandCrab lanzó cinco revisiones importantes de su código, cada una incorporando nuevas características y correcciones de errores para evadir la detección por parte de las empresas de seguridad informática.

El 31 de mayo de 2019, el grupo GandCrab anunció su disolución tras haber extorsionado más de 2 mil millones de dólares. En un mensaje de despedida, el grupo declaró: “Somos la prueba viviente de que se puede hacer el mal y salir impune”. Esta declaración no solo refleja la arrogancia típica de los grupos de ransomware, sino también una realidad alarmante sobre la efectividad de sus métodos.

La llegada del grupo REvil se produjo alrededor de la misma época que la desaparición de GandCrab. Conocido inicialmente como “UNKNOWN”, este grupo rápidamente se posicionó en el ámbito del cibercrimen. En un foro ruso de cibercrimen, “UNKNOWN” anunció haber depositado un millón de dólares en un fondo de garantía para demostrar su seriedad en la industria. Muchos expertos en ciberseguridad concluyeron que REvil era, en esencia, una reestructuración de GandCrab, lo que ilustra la naturaleza dinámica y en constante evolución del cibercrimen.

La historia personal de Shchukin, revelada en una entrevista con Dmitry Smilyanets, un ex hacker ahora colaborador de la firma de inteligencia cibernética Recorded Future, muestra un camino de vida marcado por la pobreza y la desesperación, que supuestamente lo llevó a convertirse en un millonario a través del cibercrimen. Este relato resuena con la narrativa de muchos hackers, quienes ven en el cibercrimen una forma de escapar de circunstancias adversas.

A medida que los grupos de ransomware como REvil evolucionan, han adoptado prácticas comerciales legítimas, externalizando tareas y mejorando la calidad de su software malicioso. Este enfoque ha permitido a estas organizaciones obtener pagos más altos de las víctimas. La economía del ransomware ha visto un auge significativo, con proveedores de servicios auxiliares que emergen para satisfacer las necesidades de estos grupos, lo que ha llevado a un aumento en la sofisticación de los ataques.

La operación de REvil culminó en un ataque devastador a Kaseya durante el fin de semana del 4 de julio de 2021, afectando a más de 1,500 empresas y agencias gubernamentales. La intervención del FBI, que había infiltrado los servidores del grupo antes del ataque, subrayó la capacidad de las fuerzas del orden para contrarrestar el cibercrimen, aunque no sin desafíos significativos. La publicación de una clave de descifrado gratuita para las víctimas de REvil fue un golpe considerable para la reputación del grupo, que nunca se recuperó completamente de ese evento.

Daniil Shchukin, originario de Krasnodar, Rusia, es ahora un objetivo de las fuerzas del orden. Mientras que las investigaciones de la BKA sugieren que podría estar en el extranjero, presumiblemente en Rusia, su conexión con el alias "UNKNOWN" y otras identidades en foros de cibercrimen sigue siendo un área de investigación activa. A pesar de que hay escasos vínculos directos entre Shchukin y "UNKNOWN", su pasado como "Ger0in", un operador de botnets, sugiere una trayectoria en el cibercrimen que ha evolucionado con el tiempo.

La identificación de Shchukin como UNKN pone de manifiesto la necesidad de una vigilancia continua y una respuesta contundente a las amenazas del cibercrimen. La comunidad de ciberseguridad debe mantenerse alerta y proactiva ante las tácticas en constante cambio de los grupos de ransomware, que no solo representan un desafío técnico, sino también una preocupación ética y económica a nivel global. La lucha contra el cibercrimen es una batalla que requiere la colaboración de gobiernos, empresas y expertos en seguridad para mitigar los riesgos y proteger a las víctimas de futuros ataques devastadores.

◢ CIBERCRIMEN ◣

Germany Doxes “UNKN,” Head of RU Ransomware Gangs REvil, GandCrab

⟫ 06/04/2026 ⟫ BrianKrebs

Source: Krebs on Security

An elusive hacker who went by the handle “UNKN” and ran the early Russian ransomware groupsGandCrabandREvilnow has a name and a face. Authorities in Germany say 31-year-old RussianDaniil Maksimovich Shchukinheaded both cybercrime gangs and helped carry out at least 130 acts of computer sabotage and extortion against victims across the country between 2019 and 2021. Shchukin was named as UNKN (a.k.a. UNKNOWN) inan advisorypublished by theGerman Federal Criminal Police(the “Bundeskriminalamt” or BKA for short). The BKA said Shchukin and another Russian — 43-year-oldAnatoly Sergeevitsch Kravchuk— extorted nearly $2 million euros across two dozen cyberattacks that caused more than 35 million euros in total economic damage. Daniil Maksimovich SHCHUKIN, a.k.a. UNKN, and Anatoly Sergeevitsch Karvchuk, alleged leaders of the GandCrab and REvil ransomware groups. Germany’s BKA said Shchukin acted as the head of one of the largest worldwide operating ransomware groups GandCrab and REvil, which pioneered the practice of double extortion — charging victims once for a key needed to unlock hacked systems, and a separate payment in exchange for a promise not to publish stolen data. Shchukin’s name appeared in aFeb. 2023 filing(PDF) from the U.S. Justice Department seeking the seizure of various cryptocurrency accounts associated with proceeds from the REvil ransomware gang’s activities. The government said the digital wallet tied to Shchukin contained more than $317,000 in ill-gotten cryptocurrency. The Gandcrab ransomware affiliate program first surfaced in January 2018, and paid enterprising hackers huge shares of the profits just for hacking into user accounts at major corporations. The Gandcrab team would then try to expand that access, often siphoning vast amounts of sensitive and internal documents in the process. The malware’s curators shipped five major revisions to the GandCrab code, each corresponding with sneaky new features and bug fixes aimed at thwarting the efforts of computer security firms to stymie the spread of the malware. On May 31, 2019, the GandCrab teamannouncedthe group was shutting down after extorting more than $2 billion from victims. “We are a living proof that you can do evil and get off scot-free,” GandCrab’s farewell address famously quipped. “We have proved that one can make a lifetime of money in one year. We have proved that you can become number one by general admission, not in your own conceit.” The REvil ransomware affiliate program materialized around the same as GandCrab’s demise, fronted by a user named UNKNOWN who announced on a Russian cybercrime forum that he’d deposited $1 million in the forum’s escrow to show he meant business. By this time, many cybersecurity expertshad concludedREvil was little more than a reorganization of GandCrab. UNKNOWN also gavean interviewtoDmitry Smilyanets, a former malicious hacker hired byRecorded Future, wherein UNKNOWN described a rags-to-riches tale unencumbered by ethics and morals. “As a child, I scrounged through the trash heaps and smoked cigarette butts,” UNKNOWN told Recorded Future. “I walked 10 km one way to the school. I wore the same clothes for six months. In my youth, in a communal apartment, I didn’t eat for two or even three days. Now I am a millionaire.” As described inThe Ransomware Hunting TeambyRenee DudleyandDaniel Golden, UNKNOWN and REvil reinvested significant earnings into improving their success and mirroring practices of legitimate businesses. The authors wrote: “Just as a real-world manufacturer might hire other companies to handle logistics or web design, ransomware developers increasingly outsourced tasks beyond their purview, focusing instead on improving the quality of their ransomware. The higher quality ransomware—which, in many cases, the Hunting Team could not break—resulted in more and higher pay-outs from victims. The monumental payments enabled gangs to reinvest in their enterprises. They hired more specialists, and their success accelerated.” “Criminals raced to join the booming ransomware economy. Underworld ancillary service providers sprouted or pivoted from other criminal work to meet developers’ demand for customized support. Partnering with gangs like GandCrab, ‘cryptor’ providers ensured ransomware could not be detected by standard anti-malware scanners. ‘Initial access brokerages’ specialized in stealing credentials and finding vulnerabilities in target networks, selling that access to ransomware operators and affiliates. Bitcoin “tumblers” offered discounts to gangs that used them as a preferred vendor for laundering ransom payments. Some contractors were open to working with any gang, while others entered exclusive partnerships.” REvil would evolve into a feared “big-game-hunting” machine capable of extracting hefty extortion payments from victims, largely going after organizations with more than $100 million in annual revenues and fat new cyber insurance policies that were known to pay out. Over the July 4, 2021 weekend in the United States, REvil hacked into andextorted Kaseya, a company that handled IT operations for more than 1,500 businesses, nonprofits and government agencies. The FBI would later announce they’d infiltrated the ransomware group’s servers prior to the Kaseya hack but couldn’t tip their hand at the time. REvil never recovered from that core compromise, or from the FBI’s release of a free decryption key for REvil victims who couldn’t or didn’t pay. Shchukin is from Krasnodar, Russia and is thought to reside there, the BKA said. “Based on the investigations so far, it is assumed that the wanted person is abroad, presumably in Russia,” the BKA advised. “Travel behaviour cannot be ruled out.” There is little that connects Shchukin to UNKNOWN’s various accounts on the Russian crime forums. But a review of the Russian crime forums indexed by the cyber intelligence firmIntel 471shows there is plenty connecting Shchukin to a hacker identity called “Ger0in” who operated large botnets and sold “installs” — allowing other cybercriminals to rapidly deploy malware of their choice to thousands of PCs in one go. However, Ger0in was only active between 2010 and 2011, well before UNKNOWN’s appearance as the REvil front man. A review of the mugshots released by the BKA at the image comparison site Pimeyes found a match onthis birthday celebration from 2023, which features a young man named Daniel wearing the same fancy watch as in the BKA photos. Images from Daniil Shchukin’s birthday party celebration in Krasnodar in 2023.

𝐗 Twitter f Facebook ☎ WhatsApp ✈ Telegram

← VOLVER A CIBERSEGURIDAD