Netcrook Logo
👤 TRUSTBREAKER
🗓️ 07 Apr 2026   🗂️ Cyber Warfare     🌍 Europe

Les Ombres derrière la Rançon : la police allemande démasque les cerveaux de REvil et GandCrab

Après des années d’extorsion numérique, les autorités allemandes révèlent les visages et les noms derrière deux des empires de ransomware les plus notoires au monde.

Pendant des années, les cerveaux des tristement célèbres groupes de ransomware GandCrab et REvil ont opéré dans l’obscurité du cybercrime, orchestrant des attaques audacieuses qui ont paralysé des entreprises, extorqué des millions et déconcerté les forces de l’ordre du monde entier. Aujourd’hui, les ombres reculent : la police fédérale allemande (BKA) a mis des noms et des visages sur ces figures insaisissables qui ont terrorisé le monde numérique - démasquant Daniil Maksimovich Shchukin et Anatoly Sergeevitsch Kravchuk comme les chefs de ces syndicats criminels.

Entre 2019 et 2021, Shchukin - connu en ligne sous les pseudonymes “UNKN” ou “UNKNOWN” - et Kravchuk ont orchestré un règne de terreur par ransomware, ciblant rien qu’en Allemagne au moins 130 entreprises. L’enquête de la BKA révèle leur approche sophistiquée : utilisation de forums cybercriminels, recrutement d’affiliés et extorsion de paiements avec une efficacité implacable. Leurs opérations ont rapporté au moins 2,2 millions de dollars en rançons payées par des victimes allemandes, l’impact financier réel dépassant les 40 millions de dollars.

L’histoire de ces groupes est une étude de cas en innovation cybercriminelle. GandCrab est apparu début 2018, pionnier du modèle d’affiliation “ransomware-as-a-service”. Cela a permis à un réseau de partenaires d’utiliser leur logiciel malveillant en échange d’une part des profits. Après la supposée retraite de GandCrab en 2019 - son chef affirmant avoir gagné 2 milliards de dollars - REvil (également appelé Sodinokibi) a émergé de ses cendres. Beaucoup d’opérateurs de REvil étaient d’anciens affiliés de GandCrab, désormais armés de connaissances internes et de nouvelles tactiques.

REvil a fait monter les enchères, introduisant des sites de fuite publics et mettant aux enchères des données volées pour accentuer la pression sur les victimes. Parmi leurs attaques les plus médiatisées figurent celles contre des administrations locales du Texas, le géant technologique Acer, et la dévastatrice attaque de la chaîne d’approvisionnement Kaseya, qui a touché 1 500 entreprises dans le monde. Les activités audacieuses du groupe ont fini par attirer toute l’attention des forces de l’ordre internationales. Après une brève disparition post-Kaseya, leur infrastructure a été infiltrée par les autorités, et la Russie a procédé à des arrestations très médiatisées début 2022 - bien que la plupart des suspects aient été relâchés après avoir purgé des peines pour d’autres délits.

Malgré ces perturbations, les figures clés - Shchukin et Kravchuk - sont restées en fuite. Désormais, avec leurs identités révélées et leurs visages diffusés sur les listes des personnes les plus recherchées d’Europe, les autorités espèrent les traduire en justice. L’appel public de la BKA, incluant des photos de tatouages et des détails personnels, marque une nouvelle phase dans la traque des cybercriminels : une ère où l’anonymat n’est plus garanti, et où les acteurs les plus puissants de la pègre numérique peuvent se retrouver exposés à la lumière.

Le dévoilement des cerveaux de REvil et GandCrab est une étape majeure, mais aussi un rappel : à mesure que les forces de l’ordre s’adaptent, les cybercriminels aussi. La bataille pour la frontière numérique reste implacable - et les prochains cerveaux sont déjà en embuscade.

WIKICROOK

  • Ransomware : Le ransomware est un logiciel malveillant qui chiffre ou verrouille des données, exigeant un paiement des victimes pour rétablir l’accès à leurs fichiers ou systèmes.
  • Modèle d’affiliation : Le modèle d’affiliation est une structure commerciale cybercriminelle où des hackers recrutent des partenaires pour diffuser des logiciels malveillants en échange d’une part des profits illicites.
  • Chaîne d’approvisionnement : Une attaque sur la chaîne d’approvisionnement cible des prestataires ou services tiers afin de compromettre plusieurs organisations en exploitant des relations externes de confiance.
  • Site de fuite : Un site de fuite est un site web où des cybercriminels publient ou menacent de publier des données volées pour faire pression sur les victimes afin qu’elles paient une rançon.
  • Carding : Le carding est l’utilisation ou le commerce illégal de données de cartes bancaires volées pour des achats frauduleux ou leur revente sur les marchés clandestins.
Ransomware Cybercrime REvil
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news