德国识别出REvil、GandCrab勒索软件头目'UNKN'

执行摘要

德国当局公开确认了被称为“UNKN”的神秘黑客——据称是俄罗斯勒索软件团伙REvil和GandCrab的头目——为31岁的俄罗斯国民Daniil Maksimovich Shchukin，根据Krebs on Security的一份报告。德国执法官员表示，Shchukin领导了这两项网络犯罪行动，并在2019年至2021年间至少对德国境内的受害者实施了130起计算机破坏和勒索行为。

技术分析

Shchukin的身份确认标志着在归因于2010年代末和2020年代初两个最猖獗的勒索软件家族的领导权方面取得了重大突破。从2018年运营至2019年的GandCrab开创了勒索软件即服务（RaaS）模式，并通过一系列关联网络对受害者进行勒索。REvil（也称为Sodinokibi）接替了GandCrab，成为最具破坏性的勒索软件行动之一，针对包括肉类加工商JBS和IT管理公司Kaseya在内的高调组织。

德国当局没有透露导致Shchukin身份识别的具体调查方法，但对一个多年来保持运营安全的数字人物的曝光表明，要么是执法部门渗透了该组织的通信基础设施，要么是在追踪加密货币支付方面取得了法医突破。仅在德国境内归因于Shchukin行动的130起事件表明，这是一场针对德国企业和机构的广泛而持续的活动。

缓解措施与建议

组织应检查2019年至2021年间与GandCrab或REvil入侵指标相匹配的勒索软件攻击的历史事件日志，特别是如果它们在德国运营。虽然识别一个领导者并不一定能破坏当前的行动——REvil的基础设施在2022年国际执法行动后被拆除——但防御者应监控可能试图重建类似RaaS行动的模仿团体或分裂细胞。保持离线备份、实施网络分段，并确保强大的端点检测和响应（EDR）覆盖仍然是对抗勒索软件勒索的主要防御措施。