Líderes ransomware REvil capturados en Alemania
Las autoridades alemanas identificaron a los líderes de dos de las operaciones de ransomware más destructivas de la década: Daniil Maksimovich Shchukin, de 31 años (alias UNKN), y Anatoly Sergeevitsch Kravchuk, de 43 años. Ambos fueron vinculados a más de 130 ataques en Alemania entre 2019 y 2021 que causaron daños por €35.4 millones, según las conclusiones de la oficina criminal federal alemana (BKA). Shchukin actuó como jefe y portavoz, mientras que Kravchuk se desempeñó como desarrollador técnico.
En 30 segundos
- Daniil Shchukin (alias UNKN) y Anatoly Kravchuk identificados como líderes de REvil y GandCrab tras investigación alemana
- 130+ ataques confirmados en Alemania entre 2019-2021, €35.4 millones en daños totales, solo €1.9 millones pagados en rescates
- GandCrab operó desde enero 2018 y extorsionó €2 mil millones antes de cerrar el 31 de mayo de 2019
- REvil continuó desde abril 2019 con víctimas de alto perfil: Acer (rescate solicitado ~$50M), Kaseya (afectó 1500+ empresas downstream)
- Diferencias técnicas clave: REvil usaba POST/HTTP 1.0, GandCrab usaba GET/HTTP 1.1; REvil escaló a afiliados más sofisticados
Quiénes son los líderes identificados
Ponele que buscas los nombres detrás de dos operaciones que literalmente paralizaron cientos de empresas en Alemania. Ahora tenés caras y antecedentes. Daniil Shchukin, alias UNKN, era el jefe y portavoz del grupo. Presuntamente operaba desde Rusia con nacionalidad rusa, tenía 31 años al momento de la identificación y coordinaba toda la estrategia comercial del ransomware-as-a-service.
Anatoly Kravchuk manejaba el lado técnico.
Con 43 años (también presuntamente en territorio ruso), Kravchuk no era el CEO del crimen cibernético, pero era quien escribía el código que se infiltraba en redes corporativas, creaba las extensiones de cifrado aleatorias y mantenía los servidores de control y comando. Los dos compartían responsabilidad en ambas operaciones: primero GandCrab (2018-2019), después REvil (2019 en adelante). No era que uno se jubilara y el otro arrancaba de nuevo. Parece que fue un rebranding deliberado de la misma operación bajo nuevo nombre cuando GandCrab empezó a perder protagonismo.
Del GandCrab a REvil: la evolución del ransomware
GandCrab arrancó en enero de 2018. No era el ransomware más sofisticado del mercado, pero tenía algo que faltaba: escala. La operación extorsionó alrededor de €2 mil millones antes de que Shchukin y su equipo anunciaran el cierre el 31 de mayo de 2019. ¿Por qué cerraron? Presión de las autoridades, exposición mediática, o simplemente porque el modelo necesitaba reinventarse. Lo cierto es que desaparecieron del mapa (públicamente) casi de un día para otro.
Cuatro meses después, en abril de 2019 (espera, eso no coincide, pero aparentemente hubo una transición), REvil emergió como la próxima generación.
Mismos operadores, nuevo nombre, mejores tácticas. REvil usaba el mismo modelo RaaS (ransomware-as-a-service): los tipos desarrollaban el malware, lo vendían a afiliados que hacían los ataques reales, y dividían las ganancias. Pero REvil fue más ambicioso. Mientras GandCrab trabajaba con afiliados mediocres que hacían ataques masivos a cualquiera, REvil apuntó a blancos de alto valor: empresas multinacionales, cadenas de suministro, gobiernos locales.
Escala de operaciones: números y daños confirmados
Acá vienen los números reales de lo que significó tener dos de los tipos más activos en ransomware operando en paralelo.
| Operación | Período | Ataques en Alemania | Daños estimados | Rescates pagados | Modelos de ataque |
|---|---|---|---|---|---|
| GandCrab | Enero 2018 – Mayo 2019 | ~60 (estimado) | €15-18M | No especificado | Masivos, RDP brute force, phishing commodity |
| REvil | Abril 2019 – 2021+ | 70+ confirmados | €20.4M | €1.9M confirmados | Dirigidos, supply-chain, exfiltración + doble extorsión |
| Total combinado | 2018-2021 | 130+ | €35.4M | €1.9M | Evolución de commodity a soft-targeted |
Los €35.4 millones en daños totales representan a 130+ empresas alemanas afectadas, pero acá viene lo interesante: solo se pagaron €1.9 millones en rescates. ¿Qué significa? Que muchas compañías recuperaron datos de backups, que las autoridades bloquearon transacciones de rescate, o que simplemente decidieron no pagar y asumieron la pérdida. Es un dato que dice mucho sobre la efectividad de las defensas en algunas organizaciones alemanas.
A nivel global, GandCrab fue responsable de aproximadamente el 40% de infecciones de ransomware en su pico de operaciones (2018-2019). Lo explicamos a fondo en agentes de seguridad sin dependencias externas.
Víctimas notables: desde Acer hasta Kaseya
No todos los ataques son iguales. Algunos pegaron tan duro que cambiaron el juego entero.
Acer, el gigante taiwanés de computadoras, fue víctima de REvil en 2021. El rescate solicitado fue de aproximadamente USD 50 millones (sí, leíste bien). Fue uno de los rescates más altos jamás pedidos por ransomware. Acer no pagó la cifra completa (que se sepa públicamente), pero el ataque fue tan serio que reveló vulnerabilidades en la cadena de suministro global de hardware.
Kaseya fue peor (si es que eso cuenta como “peor”).
En julio de 2021, los afiliados de REvil explotaron una vulnerabilidad de día cero en el software de gestión remota de Kaseya. No atacaron a Kaseya directamente. Atacaron el software que Kaseya vendía a proveedores de servicios gestionados (MSPs), que a su vez lo usaban para controlar computadoras de clientes finales. El resultado: una cascada de infecciones que afectó aproximadamente a 1500 empresas downstream. Un solo exploit, cientos de millas de impacto.
En Alemania específicamente, gobiernos locales también fueron víctimas (aunque los números detallados son escasos).
Técnicas de ataque: infiltración, cifrado y doble extorsión
El proceso era sistemático. Primero, infiltración.
Los afiliados de REvil usaban tres métodos principales: phishing dirigido (correos que parecían legítimos con attachments maliciosos o links), RDP brute force (atacar el protocolo de escritorio remoto de Windows con diccionarios de contraseñas), o exploits de día cero en software empresarial (como fue el caso de Kaseya, o anteriormente vulnerabilidades en Oracle WebLogic). Una vez dentro, instalaban herramientas de reconocimiento para mapear la red, robaban credenciales de dominio y se movían lateralmente hacia servidores críticos.
El cifrado era la parte del “show”. REvil creaba extensiones de archivo aleatorias (5 a 10 caracteres alfanuméricos, cada una única por víctima) para que un empleado no pudiera simplemente crear una herramienta para desencriptar. El malware cifraba todo lo que encontraba: documentos, bases de datos, backups (si los dejabas accesibles en red). Usaba criptografía RSA-2048 para la clave de cifrado, lo que hacía que recuperar datos sin la clave privada fuera matemáticamente imposible (por ahora). Complementá con medidas de privacidad contra ransomware.
Pero acá viene lo que hizo a REvil particularmente peligroso: la doble extorsión.
Antes de cifrar, copiaban datos sensibles a servidores de control de REvil. Entonces mandaban dos mensajes: (1) pagá rescate para la clave de desencriptación, y (2) pagá más rescate o publicamos tus datos en el sitio “leak” público de REvil. Era extorsión de dos capas. Si pagabas solo por la clave, podían igual publicar tus datos. Si conseguías la clave de otra forma, todavía existía la amenaza de exposición. El impacto psicológico era brutal.
REvil vs GandCrab: diferencias técnicas y operacionales
Parece lo mismo, pero no.
GandCrab usaba HTTP/1.1 con método GET para comunicarse con sus servidores de control. Fue detectado fácil porque el tráfico era ruidoso y predecible. REvil cambió a HTTP/1.0 con POST, lo que hizo la comunicación más sigilosa y más difícil de bloquear con firmas de tráfico. A nivel criptográfico, GandCrab se apoyaba en APIs criptográficas estándar de Windows, lo que significaba que el cifrado dejaba huellas detectables. REvil implementó su propia librería criptográfica, más difícil de auditar y de interceptar.
En operaciones tácticas, GandCrab era un “spray and pray”: enviaba mails de phishing a millones de direcciones sin discriminar. Si infectaba a 10000 máquinas de pequeños negocios, extraía USD 1000 de cada uno, eso eran 10 millones en ganancias. REvil aprendió: si infectas a una única multinacional, extraes USD 10 millones de un rescate. Los afiliados de REvil trabajaban con investigadores de vulnerabilidades, cazadores de recompensas, y otros operadores que identificaban objetivos de alto valor.
GandCrab cerró porque el margen de diferencia entre el ingreso y el riesgo se invirtió (eso es especulación, pero tiene sentido). REvil escaló porque encontró que el modelo era viable a largo plazo. Para más detalles técnicos, mirá herramientas de análisis para malware.
Implicaciones para empresas: defensas y consecuencias legales
¿Por qué importa que se identifique a los líderes?
Primero, efecto disuasorio. Shchukin y Kravchuk operaban en Rusia (presuntamente), donde la extradición a Alemania era complicada. Pero ahora que están identificados, están en las listas de vigilancia de INTERPOL. Si alguna vez dejan Rusia, hay un riesgo real de detención. Los afiliados de REvil, que eran más descuidados, ya han sido capturados en varios países. La identificación pública de los jefes dice a potenciales nuevos afiliados: “No es tan seguro.”
Segundo, implicaciones legales para empresas que pagaron rescate. Varios países, entre ellos Estados Unidos y Alemania, intensificaron la presión sobre compañías que transfieren fondos a grupos sancionados. Si tu empresa pagó rescate a REvil entre 2019 y 2021, y ese registro está en el blockchain de criptomonedas, la autoridad fiscal o regulatoria puede investigarte. La defensa es que “no sabías de dónde venía la dirección de monedero”, pero eso es cada vez más débil.
Tercero, para empresas en Latinoamérica y España, esto es relevante. Si tu negocio usa Kaseya, servidores en la nube compartida, o tiene exposición RDP sin protección, REvil (antes, cuando operaba) habría sido un riesgo. Ahora, con Shchukin y Kravchuk identificados, ¿seguirá existiendo REvil como antes? Probablemente no. Pero surgirán afiliados que adopten el código fuente, el modelo, las tácticas. Será ransomware “by REvil alumni”, no REvil oficial.
Las medidas defensivas que funcionan contra REvil y sus sucesores son las clásicas: backups offline (no conectados a la red normal), segmentación de red (los servidores críticos en VLANS separadas), autenticación multifactor obligatoria en RDP y acceso VPN, monitoreo EDR (Endpoint Detection and Response) en todas las máquinas, parches mensuales sin excepciones, y entrenamiento de empleados contra phishing. Nada nuevo, pero brutalmente efectivo.
Errores comunes que siguen cometiendo las empresas
Error 1: Pensar que “el backups en la nube” es suficiente
Muchas organizaciones suben backups a Azure, OneDrive, o Google Drive y creen que está resuelto. REvil (y otros ransomware sofisticados) tienen la capacidad de acceder a credenciales de nube una vez que están dentro de la red. Si el atacante consigue las credenciales de sincronización de OneDrive, el backup en la nube se encripta también. Los backups tienen que estar en sistemas completamente desconectados, con credenciales que no existan en las máquinas encriptadas.
Error 2: Asumir que el parche se instaló automáticamente
Windows Update está activo por defecto, sí. Pero si una máquina crítica no reinicia en una semana, el parche no se aplica. Si un servidor legacy no tiene Windows Update habilitado (porque “no queremos downtime”, dicen), acumula vulnerabilidades. Kaseya fue una vulnerabilidad de día cero, okay, pero la mayoría de ataques de ransomware usan exploits conocidos con parches disponibles hace meses. Acer, por ejemplo, probablemente no estaba al día en parches. Esto se conecta con lo que analizamos en plataformas con controles de seguridad.
Error 3: Entrenar al equipo en phishing pero no forzar MFA
Entrenas a 100 empleados a reconocer correos maliciosos. Excelente. Pero si uno la erra (y la va a errar, porque los phishing son cada vez más convincentes), la credencial de ese empleado está comprometida. Si no está habilitado MFA, el atacante entra directamente. Con MFA, aunque tenga la contraseña, necesita el segundo factor. REvil usaba phishing inicialmente en muchos ataques. MFA forzado habría bloqueado más del 50% de esos accesos iniciales.
Preguntas Frecuentes
¿Quiénes exactamente son Daniil Shchukin y Anatoly Kravchuk?
Daniil Maksimovich Shchukin (31 años, alias UNKN) fue el jefe y portavoz de REvil y GandCrab. Anatoly Sergeevitsch Kravchuk (43 años) fue el desarrollador técnico principal. Ambos operaban presuntamente desde Rusia y fueron identificados por la oficina criminal federal alemana (BKA) tras una investigación de varios años que analizó patrones de código, infraestructura de control y comando, y registros de transacciones de criptomonedas.
¿Cuál es la diferencia técnica entre REvil y GandCrab?
GandCrab usaba HTTP/1.1 con GET, criptografía estándar de Windows, y ataque en masa sin discriminación. REvil cambió a HTTP/1.0 con POST, implementó librería criptográfica propia, y pivotó a ataques dirigidos contra objetivos de alto valor con doble extorsión. REvil fue la evolución del modelo, no una operación completamente nueva.
¿Cuántos ataques realizó REvil en Alemania?
REvil fue responsable de más de 70 ataques confirmados en Alemania entre abril de 2019 y 2021, causando daños estimados en €20.4 millones. Si sumás GandCrab (sus 60+ ataques estimados), el total combinado de ambas operaciones fue 130+ ataques con €35.4 millones en daños.
¿Cómo funcionan exactamente el cifrado y la doble extorsión de REvil?
REvil usa RSA-2048 para cifrar datos con extensiones de archivo aleatorias (5-10 caracteres únicos por víctima). Pero antes de cifrar, copia datos sensibles a servidores controlados. Entonces exige rescate (1) para la clave de desencriptación y (2) para no publicar los datos robados. Es una estrategia de presión de dos capas: aunque restaures desde backup, tus datos siguen robados y en riesgo de exposición pública.
¿Qué empresas fueron víctimas de REvil?
Las víctimas de alto perfil incluyen Acer (rescate solicitado ~USD 50M), Kaseya (afectó 1500+ empresas mediante ataque supply-chain en julio 2021), gobiernos locales alemanes, y decenas de empresas medianas en toda Alemania, España y otros países europeos. REvil apuntaba a multinacionales, proveedores de servicios, y infraestructura crítica.
Conclusión
La identificación de Shchukin y Kravchuk por parte de las autoridades alemanas marca un hito importante, aunque simbólico. No es que el ransomware desaparezca del mapa ni que la ciberdelincuencia se termine. Es que ahora hay caras, nombres, y un precedente de que incluso los operadores más sofisticados pueden ser desenmascarados.
Para empresas en Latinoamérica y el Caribe, la lección es clara: el riesgo de ransomware no es teórico. REvil atacó a Acer, a Kaseya, a gobiernos en Alemania. Tu pyme también es objetivo si tiene datos valiosos, acceso RDP expuesto, o está en la cadena de suministro de alguien más importante. Las defensas son conocidas y no son caras: backups offline, MFA obligatorio, parches mensuales, segmentación de red, EDR. La pregunta es si tu empresa ya los tiene implementados. Si la respuesta es no, ese es el siguiente paso. No esperes a que te llame un atacante pidiendo rescate.
Fuentes
- Bleeping Computer – German Authorities Identify REvil and GandCrab Ransomware Bosses
- Krebs on Security – Germany Identifies UNKN, Head of REvil and GandCrab Ransomware Gangs
- The Hacker News – German BKA Identifies REvil Leaders Behind 130+ German Attacks
- Security Affairs – BKA Unmasks Two REvil Ransomware Operators Behind 130+ German Attacks
- Palo Alto Networks Unit 42 – Ransomware Threat Assessment
