Netcrook Logo
👤 TRUSTBREAKER
🗓️ 07 Apr 2026   🗂️ Cyber Warfare     🌍 Europe

Las sombras tras el rescate: la policía alemana desenmascara a los cabecillas de REvil y GandCrab

Tras años de extorsión digital, las autoridades alemanas revelan los rostros y nombres detrás de dos de los imperios de ransomware más notorios del mundo.

Durante años, las mentes maestras detrás de los infames grupos de ransomware GandCrab y REvil operaron en el turbio submundo del cibercrimen, orquestando ataques audaces que paralizaron empresas, extorsionaron millones y desconcertaron a las fuerzas de seguridad de todo el mundo. Ahora, las sombras se disipan: la Policía Federal de Alemania (BKA) ha puesto nombres y rostros a las esquivas figuras que aterrorizaron el mundo digital - desenmascarando a Daniil Maksimovich Shchukin y Anatoly Sergeevitsch Kravchuk como los cabecillas de estos sindicatos criminales.

Entre 2019 y 2021, Shchukin - conocido en línea como “UNKN” o “UNKNOWN” - y Kravchuk orquestaron un reinado de terror de ransomware, atacando al menos a 130 empresas solo en Alemania. La investigación de la BKA revela su enfoque sofisticado: aprovechando foros de cibercrimen, reclutando afiliados y extorsionando pagos con una eficiencia implacable. Sus operaciones recaudaron al menos 2,2 millones de dólares en rescates pagados por víctimas alemanas, con el impacto financiero real superando los 40 millones de dólares.

La historia de estos grupos es un caso de estudio en innovación cibercriminal. GandCrab surgió a principios de 2018, siendo pionero en el modelo de afiliados de “ransomware como servicio”. Esto permitió que una red de socios utilizara su malware a cambio de una parte de las ganancias. Tras la supuesta retirada de GandCrab en 2019 - con su líder afirmando haber ganado 2.000 millones de dólares - REvil (también llamado Sodinokibi) resurgió de sus cenizas. Muchos de los operadores de REvil eran antiguos afiliados de GandCrab, ahora armados con conocimientos internos y nuevas tácticas.

REvil elevó la apuesta, introduciendo sitios públicos de filtración y subastando datos robados para aumentar la presión sobre las víctimas. Sus golpes de alto perfil incluyeron ataques a gobiernos locales de Texas, al gigante tecnológico Acer y el devastador ataque a la cadena de suministro de Kaseya, que se propagó a 1.500 empresas en todo el mundo. Las actividades descaradas del grupo finalmente atrajeron toda la atención de las fuerzas de seguridad internacionales. Tras una breve desaparición después de Kaseya, su infraestructura fue infiltrada por las autoridades, y Rusia realizó arrestos de alto perfil a principios de 2022 - aunque la mayoría de los sospechosos fueron liberados tras cumplir condenas por delitos no relacionados.

A pesar de estas interrupciones, las figuras clave - Shchukin y Kravchuk - permanecieron prófugas. Ahora, con sus identidades expuestas y sus rostros circulando en las listas de los más buscados de Europa, las autoridades esperan llevarlos ante la justicia. El llamamiento público de la BKA, que incluye fotos de tatuajes y detalles personales, marca una nueva fase en la caza de cibercriminales: una en la que el anonimato ya no está garantizado y los actores más poderosos del submundo digital pueden verse arrastrados a la luz.

El desenmascaramiento de los cabecillas de REvil y GandCrab es un hito, pero también un recordatorio: a medida que las fuerzas de seguridad se adaptan, también lo hacen los cibercriminales. La batalla por la frontera digital sigue siendo implacable - y los próximos cerebros ya esperan entre bastidores.

WIKICROOK

  • Ransomware: El ransomware es un software malicioso que cifra o bloquea datos, exigiendo un pago a las víctimas para restaurar el acceso a sus archivos o sistemas.
  • Modelo de afiliados: El modelo de afiliados es una estructura de negocio cibercriminal en la que los hackers reclutan socios para distribuir malware a cambio de una parte de las ganancias ilícitas.
  • Cadena de suministro: Un ataque a la cadena de suministro apunta a proveedores o servicios externos para comprometer a múltiples organizaciones explotando relaciones de confianza.
  • Sitio de filtraciones: Un sitio de filtraciones es una web donde los cibercriminales publican o amenazan con publicar datos robados para presionar a las víctimas a pagar un rescate.
  • Carding: El carding es el uso o comercio ilegal de datos de tarjetas de crédito robadas para compras fraudulentas o reventa en mercados clandestinos.
Ransomware Cybercrime REvil
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news