È finita l’era nell’ombra per il fantasma più temuto del web. Le autorità tedesche del BKA hanno finalmente svelato la vera identità di “UNKN”, la spietata mente criminale dietro ai devastanti gruppi ransomware REvil e GandCrab. Si tratta di Daniil Maksimovich Shchukin, un 31enne russo passato dall’estrema povertà di Krasnodar a un impero milionario costruito sui ricatti digitali. Pioniere del famigerato modello della “doppia estorsione”, Shchukin è ora formalmente accusato di aver paralizzato centinaia di aziende, multinazionali (come il caso Kaseya) e infrastrutture in tutto il mondo, causando danni per decine di milioni di euro. Con la pubblicazione delle sue foto segnaletiche, la Germania sferra un colpo frontale, pubblico e decisivo al cuore del cybercrimine organizzato russo. La Germania ha compiuto una delle mosse investigative più rilevanti contro il cybercrime ransomware degli ultimi anni identificando Daniil Maksimovich Shchukin, 31enne russo di Krasnodar, come il soggetto noto con l’alias UNKN, figura di vertice dietro le operazioni di REvil e GandCrab. Il Bundeskriminalamt (BKA) ha pubblicato un avviso ufficiale con fotografia, accuse e dettagli investigativi che collegano direttamente Shchukin a centinaia di episodi di sabotaggio informatico, estorsione e doppia estorsione contro aziende e istituzioni. La decisione di renderne pubblica l’identità rappresenta un segnale forte contro l’ecosistema ransomware russo che tra il 2019 e il 2021 ha colpito duramente anche il tessuto economico tedesco.
Cosa leggere
Il BKA collega Shchukin a 24 attacchi e oltre 35 milioni di danni
Secondo le autorità tedesche, Shchukin e il cittadino russo Anatoly Sergeevitsch Kravchuk, 43 anni, avrebbero orchestrato almeno 24 cyberattacchi documentati in Germania, con estorsioni per quasi 2 milioni di euro e danni economici complessivi superiori a 35 milioni di euro. L’avviso pubblicato il 5 aprile 2026 amplia però il quadro investigativo, parlando di almeno 130 episodi di sabotaggio informatico ed estorsione riconducibili allo stesso cluster criminale. Il BKA ritiene che Shchukin risieda ancora a Krasnodar, pur non escludendo la sua presenza temporanea all’estero. La pubblicazione di immagini segnaletiche e dettagli biografici punta ad aumentare la pressione internazionale su uno dei nomi più noti dell’ecosistema ransomware.
Daniil Shchukin da Ger0in a UNKN nel cybercrime globale
Il profilo di Daniil Shchukin ricostruisce una carriera criminale lunga oltre un decennio. Già tra il 2010 e il 2011 l’indagato avrebbe utilizzato l’alias Ger0in per gestire botnet e vendere accessi malware, attività che rappresentano il naturale precursore del moderno modello ransomware-as-a-service. Gli investigatori hanno inoltre collegato le fotografie del BKA a immagini pubbliche scattate a una festa privata nel 2023, dove emergono elementi ricorrenti come un orologio di lusso e altri dettagli compatibili con il profilo del sospettato. Un ulteriore collegamento arriva da documenti statunitensi che associano il suo nome a un wallet crypto con oltre 291 mila euro, riconducibile a proventi delle attività REvil.
GandCrab ha industrializzato la doppia estorsione
Per comprendere il peso di Shchukin è fondamentale guardare alla storia di GandCrab, emerso nel gennaio 2018 e rapidamente diventato uno dei modelli più influenti del ransomware moderno. Il gruppo ha introdotto un sistema di affiliazione professionale, pagando specialisti per l’accesso iniziale alle reti, l’espansione laterale e il furto di documenti sensibili. L’innovazione decisiva è stata la doppia estorsione, con richieste economiche sia per la chiave di decriptazione sia per evitare la pubblicazione dei dati rubati. Prima di annunciare la chiusura nel maggio 2019, GandCrab dichiarava di aver generato oltre 1,83 miliardi di euro, cifra che ha ridefinito il potenziale economico del cybercrime organizzato.
REvil raccoglie l’eredità di GandCrab e punta al big game hunting
La transizione da GandCrab a REvil viene considerata dagli analisti come una vera e propria riorganizzazione interna. L’alias UNKN, attribuito a Shchukin, emerge proprio in questa fase come figura di leadership. Per consolidare la reputazione sul mercato criminale, il gruppo avrebbe depositato circa 917 mila euro come garanzia su forum russi specializzati, una pratica utilizzata per dimostrare solidità finanziaria agli affiliati. REvil ha perfezionato il modello di big game hunting, prendendo di mira aziende con fatturati oltre 100 milioni di dollari, cyber insurance e maggiore propensione al pagamento. Il caso più emblematico resta l’attacco a Kaseya del luglio 2021, che ha avuto impatto su oltre 1500 organizzazioni.
Il modello ransomware diventa una vera impresa criminale
Il successo di gruppi come REvil deriva anche dall’evoluzione del modello operativo in una struttura quasi aziendale. Le attività vengono frammentate tra specialisti: broker di accesso iniziale, sviluppatori di cryptor, designer per i leak site, servizi di mixing Bitcoin, help desk per le vittime e affiliati dedicati al movimento laterale. Questa divisione del lavoro consente ai vertici di concentrarsi su sviluppo, evasione dei controlli e monetizzazione, aumentando i riscatti medi e migliorando la qualità tecnica dei payload. Il risultato è un ecosistema ransomware professionale, capace di attrarre competenze verticali e scalare rapidamente contro bersagli enterprise.
La Germania colpisce un simbolo del ransomware russo
L’identificazione pubblica di Shchukin come UNKN ha un valore che va oltre il singolo caso giudiziario. Colpisce infatti una figura simbolica di due delle piattaforme ransomware più influenti della storia recente e rafforza il messaggio che anche gli attori apparentemente protetti dal contesto russo possono essere esposti e tracciati. Per le aziende europee il caso è anche un promemoria sulla persistenza della minaccia: il modello creato da GandCrab e REvil continua a influenzare gruppi attuali, dai leak site alla doppia estorsione, fino alla monetizzazione tramite affiliati. La pubblicazione del nome da parte del BKA segna quindi un passaggio importante nella pressione internazionale contro il cybercrime organizzato.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
