O Bundeskriminalamt (BKA), principal órgão de investigação criminal da Alemanha, revelou a identidade de dois dos principais integrantes do grupo hacker REvil, uma das operações de ransomware mais agressivas dos últimos anos. A organização foi responsável por dezenas de ataques de alto impacto em escala global, incluindo incidentes que atingiram grandes empresas e infraestruturas críticas.

Entre os identificados está Daniil Maksimovich Shchukin, cidadão russo de 31 anos, apontado como uma das figuras centrais do grupo. Conhecido online por diversos apelidos, incluindo UNKN, ele atuava como porta-voz e responsável por promover o ransomware em fóruns clandestinos, além de coordenar atividades do grupo. Também foi identificado Anatoly Sergeevitsch Kravchuk, de 43 anos, acusado de ser um dos principais desenvolvedores da operação.

Segundo as autoridades alemãs, os dois hackers estão ligados diretamente a pelo menos 130 ataques de ransomware no país. Em 25 desses casos, vítimas realizaram pagamentos que somaram cerca de €1,9 milhão. No total, os danos financeiros causados ultrapassam €35 milhões, evidenciando o impacto significativo da atuação do grupo no cenário corporativo.

O REvil operava sob o modelo de “ransomware como serviço” (RaaS), permitindo que afiliados utilizassem sua infraestrutura e ferramentas para conduzir ataques em troca de uma porcentagem dos lucros. Esse modelo foi um dos principais responsáveis pela escalada global de ataques de ransomware nos últimos anos, democratizando o acesso a ferramentas avançadas de cibercrime.

O grupo ganhou notoriedade internacional ao atingir grandes organizações, como a JBS e a Kaseya, em ataques que causaram interrupções operacionais e prejuízos milionários. Apesar de ter encerrado suas atividades oficialmente em 2021 após operações coordenadas de autoridades internacionais, o legado do REvil continua influenciando novas gerações de grupos hackers.

Investigações indicam que a operação do REvil teve origem na evolução do ransomware GandCrab, um dos primeiros grandes casos de RaaS. Ao longo dos anos, o grupo expandiu sua rede de afiliados, chegando a contar com cerca de 60 operadores ativos em diferentes regiões do mundo.

Em uma ação considerada rara, o serviço de inteligência russo anunciou em 2022 a prisão de membros ligados ao grupo, com parte deles sendo condenada posteriormente. Ainda assim, a identificação dos líderes pelo BKA reforça o esforço contínuo das autoridades em responsabilizar os principais operadores por trás desses ataques.

O caso também revela um aspecto importante do cibercrime moderno: muitos desses grupos são altamente organizados, operando como verdadeiras empresas, com divisão de funções, estratégias de marketing e estruturas de monetização bem definidas.

Além disso, declarações atribuídas a Shchukin indicam uma trajetória marcada por dificuldades financeiras antes de ingressar no mundo do cibercrime, onde acabou acumulando grande riqueza. Esse perfil reforça uma tendência observada em grupos de ransomware, que combinam motivação financeira com habilidades técnicas avançadas.

O desmantelamento parcial do REvil não representa o fim desse tipo de ameaça. Pelo contrário, o modelo RaaS continua sendo amplamente adotado, tornando o ransomware uma das principais ameaças à segurança digital global.