- जर्मनी के Federal Criminal Police Office ने रूसी नागरिक दानिल मक्सिमोविच श्चुकिन को GandCrab और REvil ransomware गिरोह का सरगना बताते हुए उसका असली नाम सार्वजनिक किया
- श्चुकिन 'UNKN(UNKNOWN)' नाम से सक्रिय था और पीड़ितों से दो बार पैसे वसूलने वाली double extortion पद्धति को लागू करने वाला प्रमुख व्यक्ति माना जाता है
- GandCrab 2018 में सामने आया, उसने affiliate model के जरिए लगभग 2 अरब डॉलर वसूले और फिर बंद हो गया; इसके बाद REvil आया, जिसने बड़ी कंपनियों को निशाना बनाया
- अमेरिकी Department of Justice ने श्चुकिन के नाम पर मौजूद cryptocurrency accounts को जब्त करने का अनुरोध किया, और जर्मन अधिकारियों ने कहा कि उसके रूस के क्रास्नोडार में रहने की प्रबल संभावना है
- REvil काम के outsourcing और sub-ecosystem वाले औद्योगिक अपराध ढांचे में विकसित हुआ, लेकिन 2021 के Kaseya hack के बाद FBI के हस्तक्षेप से ढह गया
जर्मनी ने रूसी ransomware गिरोह GandCrab·REvil के सरगना ‘UNKN’ की पहचान सार्वजनिक की
- जर्मन Federal Criminal Police Office (BKA) ने रूसी नागरिक दानिल मक्सिमोविच श्चुकिन (Daniil Maksimovich Shchukin) को GandCrab और REvil ransomware गिरोहों का सरगना बताया
- श्चुकिन पर 2019 से 2021 के बीच जर्मनी में कम से कम 130 मामलों में कंप्यूटर सिस्टम को नुकसान पहुंचाने और उगाही का नेतृत्व करने का आरोप है
- जांच के अनुसार, उसने एक अन्य रूसी अनातोली सेर्गेयेविच क्रावचुक (Anatoly Sergeevitsch Kravchuk) के साथ मिलकर लगभग 20 लाख यूरो वसूले और कुल 3.5 करोड़ यूरो से अधिक का आर्थिक नुकसान पहुंचाया
- BKA ने कहा कि श्चुकिन ‘UNKN’ (या UNKNOWN) नाम से सक्रिय था और double extortion तरीका लागू करने वाला केंद्रीय व्यक्ति था
- पीड़ितों को एक बार decryption key पाने के लिए और दूसरी बार चोरी किए गए डेटा को सार्वजनिक होने से रोकने के लिए भुगतान करना पड़ता था
- GandCrab और REvil को वैश्विक स्तर पर सक्रिय बड़े ransomware नेटवर्क माना जाता है
GandCrab और REvil का गठन और विकास
- GandCrab ransomware जनवरी 2018 में सामने आया और उसने हैकरों के लिए ऐसा affiliate model चलाया, जिसमें सिर्फ corporate account में घुसपैठ करके भी कमाई में हिस्सा मिल सकता था
- development team ने security companies की प्रतिक्रिया से बचने के लिए पांच बार बड़े version जारी किए और लगातार फीचर्स बेहतर किए
- मई 2019 में, लगभग 2 अरब डॉलर वसूलने के बाद इसने अपना ऑपरेशन बंद करने की घोषणा की और संदेश छोड़ा कि “बुरे काम करके भी सुरक्षित रूप से अमीर बना जा सकता है”
- GandCrab के बंद होने के तुरंत बाद REvil ransomware सामने आया
- ‘UNKNOWN’ नाम के एक यूज़र ने रूसी अपराध फोरम में 10 लाख डॉलर जमा कर भरोसा हासिल किया, और इसे GandCrab के पुनर्गठन के रूप में देखा गया
- REvil ने बड़ी कंपनियों और insured organizations को मुख्य निशाना बनाकर भारी फिरौती मांगने वाली ‘big-game hunting’ strategy अपनाई
श्चुकिन की पहचान और अंतरराष्ट्रीय जांच
- अमेरिकी Department of Justice ने फरवरी 2023 में REvil की गतिविधियों से जुड़ी कमाई वाले cryptocurrency accounts की जब्ती का अनुरोध करते हुए श्चुकिन का नाम स्पष्ट रूप से दर्ज किया
- संबंधित wallet में लगभग 3 लाख 17 हजार डॉलर मूल्य की cryptocurrency मौजूद थी
- BKA ने कहा कि श्चुकिन रूस के क्रास्नोडार का रहने वाला है और संभव है कि वह अभी भी वहीं रह रहा हो
- एजेंसी ने यह भी कहा कि “उसके विदेश में होने की संभावना भी है, और यात्रा गतिविधियों से इनकार नहीं किया जा सकता”
REvil का संचालन और औद्योगिक अपराध ढांचा
- Renee Dudley और Daniel Golden की किताब The Ransomware Hunting Team के अनुसार, REvil ने एक वैध कंपनी की तरह काम का outsourcing और reinvestment करके दक्षता बढ़ाई
- developers गुणवत्ता सुधार पर ध्यान देते थे, जबकि बाहरी कंपनियां web design, logistics और encryption services संभालती थीं
- ‘crypter’ providers, ‘initial access brokers’, और Bitcoin laundering services जैसे कई sub-ecosystem बन गए, जिनसे अपराध उद्योग और फैला
प्रमुख घटना और पतन
- 4 जुलाई 2021 के सप्ताहांत में REvil ने अमेरिकी IT management company Kaseya को hack किया, जिससे 1,500 से अधिक ग्राहक कंपनियां प्रभावित हुईं
- FBI ने कहा कि वह पहले से REvil के servers में घुसी हुई थी, लेकिन ऑपरेशन उजागर होने से बचाने के लिए तुरंत हस्तक्षेप नहीं कर सकी
- बाद में FBI ने free decryption key जारी की, जिसके बाद REvil व्यावहारिक रूप से ढह गया
अतिरिक्त सुराग और पहचान की पुष्टि
- cyber intelligence company Intel 471 के forum analysis के अनुसार, श्चुकिन ने अतीत में ‘Ger0in’ नाम से botnet संचालन और malware installation services बेचने का रिकॉर्ड छोड़ा था
- Ger0in 2010 से 2011 के बीच सक्रिय था, लेकिन UNKNOWN से उसका सीधा संबंध पुष्टि नहीं हुआ
- Pimeyes image comparison site के जरिए BKA द्वारा जारी तस्वीर और 2023 की क्रास्नोडार birthday party photo में दिख रहे व्यक्ति की एक ही घड़ी पहने होने की समानता पाई गई
- 2023 की जर्मन CCC (Chaos Communication Congress) कॉन्फ्रेंस में भी श्चुकिन को REvil leader के रूप में उल्लेख करने वाला English-dubbed audio सार्वजनिक किया गया
अभी कोई टिप्पणी नहीं है.