**ドイツ警察、GandCrab と REvil ランサムウェアグループの指導者を名指し逮捕** 連邦刑事警察局（BKA）は、二つの悪名高いランサムウェア組織のトップ疑惑人物を逮捕したと発表しました。 - **GandCrab** – BKA は同グループの「最高経営責任者」（CEO）を容疑者として特定しました。 - **REvil（Sodinokibi）** – 同局は、別個にこの犯罪ネットワークを率いていると考えられる人物も名指し逮捕しました。 これらの逮捕は、世界中の企業を標的にしてきたランサムウェア事業を解体する国際的な取り組みの一環です。

エリミタブル（難解）ハッカーで、ハンドル名「UNKN」を使用し、初期のロシア製ランサムウェアグループ・GandCrabとREvilを率いていた人物が、ついに名前と顔を明らかにしました。ドイツ当局は、31歳のロシア人ダニイル・マクシモビッチ・シュチュキン（Daniil Maksimovich Shchukin）が両サイバー犯罪団体を率いており、2019年から2021年にかけて全国で少なくとも130件のコンピュータ破壊・強要行為を実行したと述べています。

シュチュキンはドイツ連邦刑事警察（Bundeskriminalamt、略称BKA）が発表した勧告書で「UNKN」（別名 UNKNOWN）として指摘されました。BKAによると、シュチュキンと他のロシア人、43歳のアナトリ・セルゲーヴィッチ・クラフチョク（Anatoly Sergeevitsch Kravchuk）は、約2 百万ユーロに相当する金額を引き出し、二十数件のサイバー攻撃で総計3,500万ユーロ以上の経済的損害をもたらしました。

主な人物

• ダニイル・マクシモビッチ・シュチュキン（別名 UNKN）
• アナトリ・セルゲーヴィッチ・クラフチョク、GandCrabとREvilの指導者とされる

ドイツBKAは、シュチュキンが世界最大級のランサムウェアグループであるGandCrabとREvilのリーダーとして活動し、「ダブルエクストラクション」（被害者にハッキングされたシステムを解除するためのキーと、盗まれたデータを公開しないという約束の対価）という手法を先駆けていたと述べています。

シュチュキンの名前は、2023年2月に米国司法省がREvilランサムウェア団体の活動から得られた暗号通貨口座の差し押さえを求める申立書（PDF）で初登場しました。政府によれば、シュチュキンに紐づくデジタルウォレットには31万7千ドル以上の不正取得暗号資産が保管されていたとされています。

GandCrabランサムウェアは2018年1月に初めて登場し、大手企業のユーザーアカウントをハッキングしただけで大きな利益を得ることができました。チームはさらにアクセス権を拡大し、機密情報や内部文書を大量に取得するケースも多かったです。このマルウェアは5回にわたって主要な改良版をリリースし、各版で新機能の追加やバグ修正が行われ、セキュリティ企業の検知努力を妨害していました。

2019年5月31日、GandCrabチームは「2 十億ドル以上の被害者から強要した後、解散する」と発表しました。挨拶文では次のように語られました。「私たちは悪事を働いても罰せられずに済むことを証明した。1年で一生分のお金を稼ぐことができると証明した。自尊心に頼らず、一般的な手段でトップになることが可能だ」と。

REvilランサムウェアはGandCrabの崩壊直後に登場し、UNKNOWNというユーザー名で掲示板に「1 百万ドルを保証金として預けた」と発表しました。多くのセキュリティ専門家は、REvilが単なるGandCrabの再編成に過ぎないと結論付けていました。

UNKNOWNはRecorded Futureに雇われた元悪意あるハッカーであるドミトリー・スミリャネツ（Dmitry Smilyanets）へのインタビューで、倫理や道徳を欠いた貧困から富へと転落した物語を語りました。彼は「子供の頃はゴミ箱を探し回り、たばこの吸い殻を吸っていた」と述べ、「学校まで10km歩き、6か月間同じ服を着て過ごし、若いころは共同住宅で2〜3日も食事を取らなかった。今では億万長者だ」と語っています。

Renee DudleyとDaniel Goldenによる『The Ransomware Hunting Team』に記されているように、UNKNOWNとREvilは大きな収益を再投資し、合法的企業の慣行を模倣することで成功率を高めました。著者らは次のように述べています。

「実際の製造業者が物流やウェブデザインを外部委託するのと同様に、ランサムウェア開発者も自社の範囲を超えるタスクをアウトソーシングし、代わりにランサムウェアの品質向上に注力した。高品質なランサムウェアは多くの場合、ハンティングチームでも破壊できず、被害者からより大きな金銭的報酬を得られた。これによりギャングは事業へ再投資し、専門家を雇い、その成功は加速した。」

「犯罪者は急成長するランサムウェア経済に飛び込み、裏社会のサービスプロバイダーがカスタマイズされた支援を求める開発者ニーズに応えるために派生・転向した。GandCrabと提携し、『cryptor』プロバイダーは標準的なアンチマルウェアスキャナーで検知されないようにランサムウェアを確保した。『初期アクセスブローカー』はターゲットネットワークの認証情報取得や脆弱性探索を専門とし、得たアクセス権をランサムウェアオペレーターやアフィリエイトへ販売した。ビットコイン「トンネル」サービスは、金銭洗浄を優先ベンダーとして利用するギャングに割引を提供した。一部の請負業者は任意のギャングと協力可能だったが、他は排他的なパートナーシップに入っていた。」

REvilは「ビッグゲーム・ハンティング」機械へ進化し、年間売上高1億ドル以上で大きなサイバー保険を持つ組織を標的にして、高額の強要金を引き出すようになりました。

2021年7月4日土曜夜、REvilはIT運用会社Kaseya（1500社超の企業・非営利団体・政府機関を顧客とする）をハッキングし、被害者から金銭を強要しました。FBIは後にKaseya攻撃前にランサムウェアグループのサーバーに侵入したが、その時点で情報を公開できなかったと発表しました。REvilはその核心的脆弱性やFBIによる無料復号キー提供の影響から回復できませんでした。

シュチュキンはクリアノドール（Krasnodar）、ロシア出身とされ、BKAは彼が現地に居住している可能性が高いとしています。
「現在までの調査では、要件者は国外、恐らくロシアに滞在していると推定される。移動行動は除外できない」とBKAは報告しました。

UNKNOWNのロシア犯罪フォーラム上の複数アカウントとの直接的な関連はほぼありません。しかし、サイバーインテリジェンス企業Intel 471が索引したロシア犯罪フォーラムを調査すると、シュチュキンと「Ger0in」というハッカーアイデンティティの間に多くの繋がりがあることが判明しました。Ger0inは2010年から2011年まで活動し、巨大なボットネットを運営し「インストール」を販売して他のサイバー犯罪者が一度で数千台PCへマルウェアを配布できるようにしていました。ただし、GER0INはREvil前線として登場するUNKNOWNよりもかなり早い時期に活動を終えているため、直接的な関係は薄いと考えられます。

BKAが公開した顕在写真とPimeyesの画像比較サイトで比べた結果、2023年誕生日パーティーで「Daniel」という若者が同じ豪華時計を着用している写真が一致しました。
クリアノドールで開催されたダニイル・シュチュキン氏の2023年誕生日パーティーの画像

更新（4月6日午後12:06 ET）：読者から、2023年にドイツで開催されたa ccc.de（37C3）カンファレンスの英語字幕付き音声録音が転送されました。以前この録音はシュチュキンをREvilリーダーとして暴露しており、約24分25秒あたりにシュチュキンの名前が言及されています。