Niemieckie służby zidentyfikowały liderów REvil i GandCrab. Przełom w śledztwie przeciwko ransomware - Security Bez Tabu

Niemieckie służby zidentyfikowały liderów REvil i GandCrab. Przełom w śledztwie przeciwko ransomware

Cybersecurity news

Wprowadzenie do problemu / definicja

Ransomware-as-a-Service, czyli RaaS, to model cyberprzestępczy, w którym operatorzy tworzą i utrzymują złośliwe oprogramowanie oraz zaplecze techniczne, a afilianci wykorzystują je do prowadzenia ataków na organizacje. W praktyce oznacza to uprzemysłowienie ransomware: jedni odpowiadają za rozwój narzędzi, inni za włamania, negocjacje i wymuszanie okupów.

Dwie z najbardziej rozpoznawalnych marek działających w tym modelu to GandCrab oraz REvil. Obie grupy odegrały istotną rolę w rozwoju współczesnych kampanii wymuszeń, łączących szyfrowanie danych z kradzieżą informacji i presją reputacyjną. Najnowsze działania niemieckich organów ścigania pokazują, że mimo upływu lat identyfikacja osób stojących za tymi operacjami nadal pozostaje jednym z kluczowych elementów walki z cyberprzestępczością.

W skrócie

Niemiecki Federalny Urząd Kryminalny poinformował o zidentyfikowaniu dwóch obywateli Rosji jako osób kierujących operacjami ransomware GandCrab i REvil w latach 2019–2021. Według ustaleń śledczych mieli oni brać udział w co najmniej 130 przypadkach wymuszeń wymierzonych w podmioty w Niemczech.

Co najmniej 25 ofiar miało zapłacić okup, a łączna wartość szkód finansowych została oszacowana na ponad 40 mln dolarów. Sprawa ma znaczenie nie tylko śledcze, ale i strategiczne, ponieważ dotyczy struktur, które przez lata wyznaczały kierunek rozwoju ekosystemu RaaS.

Kontekst / historia

GandCrab pojawił się na początku 2018 roku i w krótkim czasie stał się jednym z najaktywniejszych programów ransomware na świecie. Jego siła wynikała z modelu afiliacyjnego, który pozwalał operatorom szybko skalować działalność dzięki współpracy z zewnętrznymi cyberprzestępcami odpowiedzialnymi za uzyskiwanie dostępu do środowisk ofiar.

Po ogłoszeniu zakończenia działalności GandCrab w 2019 roku bardzo szybko na pierwszy plan wysunął się REvil, znany również jako Sodinokibi. Nowa operacja przejęła wiele elementów wcześniejszego modelu biznesowego: strukturę partnerską, agresywne negocjacje oraz rozwinięte relacje z podziemiem cyberprzestępczym.

REvil rozwinął również mechanizmy podwójnego wymuszenia. Oznaczało to, że ofiary były szantażowane nie tylko blokadą dostępu do systemów i danych, ale także groźbą publikacji skradzionych informacji. W efekcie ransomware przestał być wyłącznie problemem operacyjnym, a stał się pełnoskalowym zagrożeniem biznesowym, prawnym i reputacyjnym.

Analiza techniczna

Z technicznego punktu widzenia ustalenia niemieckich śledczych wzmacniają tezę, że GandCrab i REvil nie były całkowicie odrębnymi zjawiskami, lecz kolejnymi etapami ewolucji jednego ekosystemu przestępczego. Wskazuje na to zarówno podobny model działania, jak i ciągłość ról pełnionych przez operatorów oraz osoby odpowiadające za rozwój zaplecza.

Model operacyjny tych grup obejmował kilka stałych komponentów:

  • centralnie rozwijane oprogramowanie ransomware,
  • infrastrukturę do negocjacji i obsługi ofiar,
  • afiliantów prowadzących intruzje do sieci,
  • mechanizmy podziału zysków,
  • systemy służące do publikacji lub sprzedaży wykradzionych danych.

REvil dopracował ten model, łącząc szyfrowanie plików z eksfiltracją danych i presją medialną wokół incydentów. Taka konstrukcja znacząco zwiększała skuteczność wymuszeń, ponieważ organizacje jednocześnie mierzyły się z przestojem operacyjnym, ryzykiem regulacyjnym, utratą reputacji oraz możliwością dalszego wykorzystania wykradzionych informacji.

Istotnym elementem materiałów śledczych jest także wskazanie długofalowej aktywności jednego z operatorów działającego pod pseudonimem UNKN lub UNKNOWN. Tego rodzaju obecność na forach cyberprzestępczych jest charakterystyczna dla dojrzałych grup RaaS: operatorzy nie ograniczają się do tworzenia malware, ale prowadzą rekrutację, rozwijają rozpoznawalność swojej marki i zarządzają relacjami z afiliantami.

Historia REvil pokazała też, że działania wymierzone w infrastrukturę techniczną grupy mogą być równie ważne jak identyfikacja personalna. Zakłócenie działania serwerów, paneli negocjacyjnych i zaplecza operacyjnego uderza bezpośrednio w ciągłość modelu usługowego, który stanowi podstawę funkcjonowania RaaS.

Konsekwencje / ryzyko

Dla organizacji najważniejszy wniosek jest prosty: osłabienie jednej grupy ransomware nie oznacza końca zagrożenia. Ekosystem RaaS ma charakter adaptacyjny, a jego uczestnicy mogą przenosić się między markami, reaktywować działalność pod nową nazwą lub wykorzystywać wcześniej wypracowane procedury w kolejnych kampaniach.

Najważniejsze ryzyka dla firm obejmują:

  • szyfrowanie systemów produkcyjnych i serwerów plików,
  • kradzież danych przed etapem szyfrowania,
  • wymuszenia związane z ujawnieniem informacji,
  • zakłócenia łańcuchów dostaw,
  • skutki prawne i regulacyjne po wycieku danych,
  • wielomilionowe straty operacyjne i wizerunkowe.

Sprawa potwierdza również, że duże operacje ransomware są z natury transgraniczne. Korzystają z jurysdykcji utrudniających zatrzymanie sprawców, a samo ich publiczne wskazanie nie zawsze przekłada się szybko na postawienie przed sądem. Z perspektywy obrony oznacza to, że organizacje nie mogą opierać bezpieczeństwa na założeniu, iż organy ścigania wyeliminują zagrożenie w krótkim czasie.

Rekomendacje

Doniesienia tego typu powinny być dla firm sygnałem, że obrona przed ransomware wymaga podejścia wielowarstwowego. Skuteczność ochrony zależy od jednoczesnego wzmacniania prewencji, detekcji, reagowania i odtwarzania.

  • segmentacja sieci i ograniczanie ruchu bocznego,
  • stosowanie zasady najmniejszych uprawnień,
  • wymuszenie MFA dla dostępu zdalnego i administracyjnego,
  • regularne kopie zapasowe offline oraz testy odtwarzania,
  • monitoring eksfiltracji danych i anomalii sieciowych,
  • szybkie łatanie systemów brzegowych i krytycznych usług,
  • ochrona punktów końcowych oparta na analizie zachowań,
  • centralizacja logów i gotowe procedury reagowania,
  • ćwiczenia tabletop dla scenariuszy podwójnego wymuszenia,
  • przygotowane procesy prawne, komunikacyjne i operacyjne na wypadek wycieku danych.

Z perspektywy SOC i zespołów IR szczególnie ważne jest łączenie telemetrii z endpointów, usług katalogowych, systemów kopii zapasowych i urządzeń sieciowych. Wiele kampanii ransomware jest poprzedzonych rozpoznaniem, eskalacją uprawnień, próbami wyłączenia ochrony oraz usuwaniem backupów. Wykrycie tych etapów jeszcze przed uruchomieniem szyfrowania może znacząco ograniczyć skalę incydentu.

Podsumowanie

Identyfikacja osób wskazywanych jako liderzy GandCrab i REvil to istotny sygnał dla rynku cyberbezpieczeństwa. Pokazuje, że ściganie operatorów ransomware pozostaje aktywne także po zakończeniu najbardziej medialnej fazy ich działalności i że organy ścigania nadal analizują powiązania pomiędzy kolejnymi generacjami operacji RaaS.

Dla obrońców najważniejsza lekcja pozostaje niezmienna: ransomware nie jest wyłącznie problemem złośliwego oprogramowania. To dojrzały model przestępczy łączący intruzję, kradzież danych, sabotaż operacyjny i presję finansową. Dlatego odporność organizacji musi obejmować zarówno bezpieczeństwo techniczne, jak i gotowość procesową do działania pod presją incydentu.

Źródła

  1. BleepingComputer — German authorities identify REvil and GandCrab ransomware bosses — https://www.bleepingcomputer.com/news/security/german-authorities-identify-revil-and-gangcrab-ransomware-bosses/
  2. BKA — Öffentlichkeitsfahndung nach zwei mutmaßlichen Rädelsführern der Gruppierungen „GandCrab“ und „REvil“ — https://www.bka.de/DE/Presse/Listenseite_Pressemitteilungen/2026/Presse2026/260404_PM_Oeffentlichkeitsfahndung_REvil_GandCrab.html
  3. Europol EU Most Wanted — Profiles related to the investigation — https://eumostwanted.eu/