La Oficina Federal de Policía Criminal de Alemania (también conocida como BKA o Bundeskriminalamt) ha desenmascarado la identidad real de los principales actores de amenazas asociados con el ahora desaparecido REvil (también conocido como Sodinokibi) operación de ransomware como servicio (RaaS).

El actor de amenazas, que se hacía llamar DESCONOCIDOactuó como representante del grupo y anunció el ransomware en junio de 2019 en el foro de cibercrimen XSS. Ahora ha sido identificado como Daniil Maksimovich Shchukinciudadano ruso de 31 años. También utilizó los apodos en línea Oneiilk2, Oneillk2, Oneillk22 y GandCrab.

El desarrollo fue reportado por el periodista independiente de seguridad Brian Krebs.

«Desde principios de 2019 como máximo hasta al menos julio de 2021, la persona buscada, en cooperación con otras personas, actuó como líder de uno de los grupos de ransomware más grandes del mundo, conocido como GandCrab/REvil», dijo BKA. «Los perpetradores exigieron grandes pagos de rescate a cambio de descifrar y no filtrar datos».

También se añade a la lista de buscados Anatoly Sergeevitsch Kravchukun ruso de 43 años nacido en la ciudad ucraniana de Makiivka. Se alega que actuó como desarrollador de REvil durante el mismo período de tiempo.

Se sospecha que Shchukin y Kravchuk han llevado a cabo 130 ataques de ransomware en toda Alemania. De ellos, 25 casos dieron lugar al pago de 1,9 millones de euros (2,19 millones de dólares). Los incidentes provocaron en conjunto daños financieros superiores a 35,4 millones de euros (40,8 millones de dólares).

REVOLVER (también conocido como Water Mare y Gold Southfield) fue uno de los prolíficos grupos de ransomware que contó con empresas como JBS y Kaseya entre sus víctimas. Una evolución de la CangrejoGand ransomware, el grupo de delitos electrónicos se desconectó misteriosamente a mediados de julio de 2021, para resurgir dos meses después.

En octubre de 2021, el grupo dejó de operar y su sitio de filtración de datos se volvió inaccesible como parte de una operación policial. Semanas más tarde, las autoridades policiales rumanas anunciaron el arresto de dos personas por su papel como afiliados de la familia de ransomware REvil.

En una medida poco común, el Servicio Federal de Seguridad (FSB) de Rusia reveló en enero de 2022 que había arrestado a varios miembros pertenecientes a la famosa banda de ransomware REvil y neutralizado sus operaciones. Cuatro de esos miembros fueron enviados a varios años de prisión en octubre de 2024, informó la publicación de noticias rusa Kommersant.

UNKN también desaparecido de los foros de cibercrimen coincidiendo con la operación, lo que llevó a otro usuario, REvil (más tarde rebautizado como 0_neday), a convertirse en la cara pública de las operaciones de la pandilla.

en un entrevista Con Dmitry Smilyanets de Recorded Future en marzo de 2021, UNKN dijo que había estado en el negocio del ransomware desde 2007 y que en un momento tenían hasta 60 afiliados trabajando para el grupo.

«Cuando era niño, hurgaba en los montones de basura y fumaba colillas. Caminé 10 kilómetros de ida a la escuela», dijo. «Llevé la misma ropa durante seis meses. En mi juventud, en un apartamento comunal, no comí durante dos o incluso tres días. Ahora soy millonario».

El Departamento de Justicia de EE. UU. (DoJ) anunció el jueves la interrupción de la infraestructura de comando y control (C2) utilizada por varias botnets de Internet de las cosas (IoT) como AISURU, Kimwolf, JackSkidy el Mossad como parte de una operación policial autorizada por el tribunal.

En el esfuerzo también las autoridades de Canadá y Alemania apuntaron a los operadores detrás de estas botnets, con una serie de empresas del sector privado, incluidas Akamai, Amazon Web Services, Cloudflare, DigitalOcean, Google, Lumen, Nokia, Okta, Oracle, PayPal, SpyCloud, Synthient, Team Cymru, Unit 221B y QiAnXin XLab ayudando en los esfuerzos de investigación.

«Las cuatro botnets lanzaron ataques distribuidos de denegación de servicio (DDoS) dirigidos a víctimas de todo el mundo», dijo el Departamento de Justicia. dicho. «Algunos de estos ataques midieron aproximadamente 30 Terabits por segundo, que fueron ataques sin precedentes».

En un informe del mes pasado, Cloudflare atribuyó a AISURU/Kimwolf a un ataque DDoS masivo de 31,4 Tbps que ocurrió en noviembre de 2025 y duró solo 35 segundos. Hacia finales del año pasado, también se estima que la botnet participó en ataques DDoS hipervolumétricos que tenían un tamaño promedio de 3 mil millones de paquetes por segundo (Bpps), 4 Tbps y 54 millones de solicitudes por segundo (Mrps).

El periodista independiente de seguridad Brian Krebs también rastreado el administrador de Kimwolf de Jacob Butler (también conocido como Dort), de 23 años, de Ottawa, Canadá. Butler le dijo a Krebs que no ha usado la personalidad de Dort desde 2021 y afirmó que alguien se está haciendo pasar por él después de comprometer su antigua cuenta.

Butler también dijo que «la mayor parte del tiempo se queda en casa y ayuda a su madre en las tareas del hogar porque lucha contra el autismo y la interacción social». De acuerdo a krebsel otro principal sospechoso es un joven de 15 años que reside en Alemania. No se han anunciado arrestos.

La botnet ha reclutado a más de 2 millones de dispositivos Android en su red, la mayoría de los cuales son televisores Android de otra marca comprometidos. En total, se estima que las cuatro botnets han infectado nada menos que 3 millones de dispositivos en todo el mundo, como grabadoras de vídeo digitales, cámaras web o enrutadores Wi-Fi, de los cuales cientos de miles se encuentran en EE.UU.

«Las botnets Kimwolf y JackSkid están acusadas de atacar e infectar dispositivos que tradicionalmente están ‘protegidos’ del resto de Internet. Los dispositivos infectados fueron esclavizados por los operadores de las botnets», dijo el Departamento de Justicia. «Los operadores utilizaron luego un modelo de ‘cibercrimen como servicio’ para vender el acceso a los dispositivos infectados a otros ciberdelincuentes».

Estos dispositivos infectados se utilizaron luego para realizar ataques DDoS contra objetivos de interés en todo el mundo. Los documentos judiciales alegan que las cuatro variantes de la botnet Mirai han emitido cientos de miles de comandos de ataque DDoS.

• AISURU – >200.000 comandos de ataque DDoS
• Kimwolf: >25.000 comandos de ataque DDoS
• JackSkid: >90.000 comandos de ataque DDoS
• Mossad: >1.000 comandos de ataque DDoS

«Kimwolf representó un cambio fundamental en la forma en que operan y escalan las botnets. A diferencia de las botnets tradicionales que escanean la Internet abierta en busca de dispositivos vulnerables, Kimwolf aprovechó un nuevo vector de ataque: las redes proxy residenciales», dijo Tom Scholl, vicepresidente e ingeniero distinguido de AWS, dicho en una publicación compartida en LinkedIn.

«Al infiltrarse en las redes domésticas a través de dispositivos comprometidos, incluidos decodificadores de TV y otros dispositivos IoT, la botnet obtuvo acceso a redes locales que normalmente están protegidas de amenazas externas por enrutadores domésticos».

Akamai dijo que las botnets hipervolumétricas generaron ataques que superaban los 30 Tbps, 14 mil millones de paquetes por segundo y 300 Mrps, y agregó que los ciberdelincuentes aprovecharon estas botnets para lanzar cientos de miles de ataques y exigir pagos de extorsión a las víctimas en algunos casos.

«Estos ataques pueden paralizar la infraestructura central de Internet, causar una degradación significativa del servicio para los ISP y sus clientes intermedios, e incluso abrumar los servicios de mitigación basados ​​en la nube de alta capacidad», dijo la empresa de infraestructura web. dicho.