2019年1月,德国一家中型制造企业的IT主管在凌晨3点被电话惊醒——全部服务器被锁,屏幕跳出一行字:"你的文件已被GandCrab加密,72小时内支付赎金,否则永久删除。"这不是演习。当时没人知道,这个勒索软件背后的运营者,此刻正坐在俄罗斯某处的公寓里,看着全球受害者的赎金像自来水一样流进加密货币钱包。
五年后,德国联邦刑事警察局(BKA)终于掀开了这张桌子。2024年4月,BKA发布通缉令,指认两名俄罗斯公民——Daniil Maksimovich Shchukin和Anatoly Sergeevich Kravchuk——为GandCrab及其继任者REvil的核心运营者。警方称,这对组合在2019年初至2021年7月间,以勒索软件即服务(RaaS,Ransomware-as-a-Service)模式,对德国境内130个组织发动攻击,造成损失超过3500万欧元(约4000万美元),团伙至少获利190万欧元。
从"退休宣言"到全球通缉:一个勒索帝国的兴衰
GandCrab的崛起堪称勒索软件史上的教科书案例。2018年1月,它在地下论坛首次亮相,采用RaaS模式运营——核心团队负责开发维护,下游"加盟商"负责入侵投放,利润分成。这种模式把网络犯罪做成了可规模化的SaaS生意。
到2018年中,GandCrab已成为全球最活跃的勒索软件家族之一。它利用漏洞利用工具包(exploit kits)、钓鱼邮件和恶意下载传播,开发团队保持高频更新,几乎每月迭代版本。2019年达到巅峰期,全球勒索软件感染事件中GandCrab占比遥遥领先, affiliate(加盟分销者)们赚得盆满钵满。
然后,剧情出现反转。2019年6月,运营者突然宣布"退休",声称总收入约20亿美元,个人套现1.5亿美元并成功洗白。这份嚣张的告别信引发连锁反应:多个继任者试图填补真空,其中REvil(又称Sodinokibi)迅速崛起,成为GandCrab的精神续作。
REvil的作案手法更激进。2021年7月,该团伙攻击美国IT管理软件商Kaseya,通过供应链感染下游1500多家企业,索要7000万美元赎金。同月,德国警方认定的运营时间窗口恰好在此结束——是巧合,还是执法压力下的被迫收手?
为什么现在才锁定身份?跨国网络犯罪的追诉困境
德国警方此次公开通缉,本身就说明了一件事:传统司法手段对藏身俄罗斯的嫌疑人近乎无效。BKA在声明中坦承,两人据信位于俄罗斯境内,"不排除其旅行可能",故向全球公众征集线索。
这种措辞暴露了跨境网络犯罪追诉的核心痛点。俄罗斯与西方国家在引渡问题上长期僵持,多起高调勒索案的主谋至今逍遥法外。2022年,美国曾悬赏1000万美元征集REvil成员信息;2023年,俄罗斯联邦安全局(FSB)声称应美方请求逮捕14名REvil关联人员,但后续起诉与引渡杳无音讯。
德国选择此时公开,或许与2024年初欧洲多国联合打击勒索软件基础设施的行动有关。今年2月,荷兰、德国、美国等国联合查封了LockBit勒索软件的服务器,缴获超过200个加密货币钱包。对GandCrab/REvil旧案的重新激活,可能是同一波执法浪潮的延续。
20亿美元 vs 190万欧元:数字背后的分赃逻辑
警方通报中的两组数字值得玩味。GandCrab运营者自称套现1.5亿美元(约20亿美元总收入),而德国警方仅确认团伙获利190万欧元。差距悬殊,但并非矛盾。
RaaS模式的核心是分层抽成。核心开发团队通常拿走赎金的20%-30%,剩余归实际执行入侵的affiliate。若20亿美元为真,核心团队按25%抽成计算约5亿美元,与1.5亿美元套现声明基本吻合——其余可能用于运营成本、洗钱损耗或再投资。德国警方追踪的190万欧元,仅是德国境内案件的可确认流向,或是某个特定钱包的冻结金额。
更关键的是,加密货币的混币(mixing)和跨链兑换让资金流向极难追踪。运营者宣称"洗白"的1.5亿美元,若以2021年比特币均价计算,约对应3万枚BTC。这笔钱若分散存入多个合规交易所的"白钱包",再逐步兑换为法币购买房产、股权,追查难度呈指数级上升。
德国警方此次公开嫌疑人全名与照片,打破了网络犯罪调查中常见的匿名惯例。这种"人肉搜索式执法"的潜台词是:既然抓不到,就让其社会性死亡。对于习惯隐匿于屏幕后的黑客而言,曝光真实身份可能比牢狱之灾更具威慑——前提是,他们还在乎正常生活。
通缉令发布两周后,网络安全社区流传一则未经证实的消息:某暗网论坛出现疑似Shchukin的账号,发帖询问"如何获得新身份文件"。帖子很快被删除。如果属实,这意味着德国警方的公开策略正在奏效——猎物开始移动,而移动中的猎物,往往更容易暴露。
热门跟贴