« Gamin, je fouillais les poubelles et je fumais des mégots. Je ne mangeais pas pendant deux, parfois trois jours. Aujourd’hui, je suis millionnaire. » Ces mots sont ceux de Daniil Shchukin, 31 ans, originaire de Krasnodar, dans le sud de la Russie. Le 5 avril 2026, la police fédérale allemande (BKA) a mis un nom et un visage sur celui que le monde de la cybersécurité connaissait sous le pseudonyme UNKN : le cerveau présumé de REvil et GandCrab, deux des gangs de rançongiciels les plus dévastateurs de la dernière décennie.
De GandCrab à REvil : une machine à extorquer 2 milliards de dollars
L’histoire commence début 2018. GandCrab apparait sur les forums russophones du dark web comme un service clé en main. Le principe est simple : les développeurs créent le logiciel de chiffrement, puis le louent à des « affiliés » qui se chargent d’infecter les victimes. Les bénéfices sont partagés. Pour asseoir sa crédibilité, la direction dépose un million de dollars en séquestre sur un forum criminel.
En un peu plus d’un an, GandCrab extorque environ 2 milliards de dollars à des entreprises et des particuliers du monde entier. Le gang annonce sa dissolution le 31 mai 2019, avec un message d’adieu resté célèbre dans le milieu : « Nous sommes la preuve vivante qu’on peut faire le mal et s’en tirer. » La retraite ne dure pas. Quelques semaines plus tard, un nouveau groupe émerge : REvil, aussi connu sous le nom de Sodinokibi. Les experts en cybersécurité y voient très vite une simple réorganisation de GandCrab, avec les mêmes outils, les mêmes méthodes et les mêmes têtes.
Kaseya, Lady Gaga, Trump : des victimes de premier plan
REvil passe à la vitesse supérieure. Le gang cible désormais des organisations dont le chiffre d’affaires dépasse les 100 millions de dollars, en privilégiant celles qui disposent d’une cyberassurance. La méthode se raffine : en plus de chiffrer les systèmes, les pirates volent des volumes massifs de données et menacent de les diffuser en ligne si la rançon n’est pas payée. C’est ce qu’on appelle la « double extorsion ».
Parmi les victimes les plus médiatisées : le cabinet d’avocats new-yorkais Grubman Shire Meiselas & Sacks, qui représente Lady Gaga et dont les fichiers avaient fuité sur le dark web. Le gang avait aussi revendiqué détenir des documents liés à Donald Trump. Le coup le plus spectaculaire tombe le 4 juillet 2021 : REvil exploite une faille dans le logiciel de gestion Kaseya et paralyse plus de 1 500 entreprises d’un coup, des supermarchés suédois aux cabinets dentaires américains.
130 attaques rien qu’en Allemagne, 40 millions d’euros de dégâts
Selon l’avis de recherche du BKA, Shchukin et son complice Anatoly Kravchuk, 43 ans, Russo-Ukrainien identifié comme le développeur principal du rançongiciel, ont mené au moins 130 opérations de sabotage informatique et d’extorsion contre des cibles allemandes entre 2019 et 2021. Les rançons directement collectées s’élèvent à environ 2,3 millions de dollars, mais les dommages économiques totaux dépassent les 40 millions d’euros, si l’on compte les interruptions d’activité, la reconstruction des systèmes et les pertes de données.
En février 2023, le ministère américain de la Justice avait déjà saisi 317 000 dollars en cryptomonnaies dans un portefeuille numérique lié à Shchukin. La piste remonte plus loin encore : des chercheurs du Chaos Computer Club, la plus grande organisation de hackers européens, avaient présenté des éléments sur son identité dès 2023. L’enquête allemande a recoupé ces indices avec des traces numériques, des transactions sur la blockchain et une photo prise lors d’un anniversaire à Krasnodar.
Protégés par la Russie, introuvables pour la justice
Les deux suspects se trouvent, selon toute vraisemblance, en Russie. Et c’est là que l’affaire se heurte à un mur. En 2022, le FSB (services de renseignement russes) avait annoncé l’arrestation de 14 membres présumés de REvil dans une opération très médiatisée. Seuls 8 d’entre eux se sont présentés devant un tribunal moscovite. Les charges retenues ? Non pas du piratage informatique, mais de simples « opérations financières illégales ». Depuis, les audiences sont sans cesse reportées. Ni Shchukin ni Kravchuk ne figuraient parmi les interpellés.
La Russie n’extrade pas ses ressortissants. C’est un principe constitutionnel, et les groupes de rançongiciels russophones le savent. Tant qu’ils ne s’attaquent pas à des cibles russes ou alliées, ils opèrent dans une zone grise que Moscou tolère, voire exploite. Le journaliste Brian Krebs, référence mondiale en cybersécurité, souligne que le BKA a choisi de rendre publique l’identité des suspects précisément parce que leur arrestation est, pour l’heure, impossible. L’objectif : restreindre leurs déplacements et compliquer leurs opérations financières à l’international.
Le rançongiciel, une industrie que rien ne semble freiner
L’identification de Shchukin intervient dans un contexte où les forces de l’ordre multiplient les offensives contre l’écosystème des rançongiciels. Plus tôt en 2026, la police allemande avait déjà identifié deux suspects ukrainiens liés au groupe Black Basta et placé son chef présumé, un Russe, sur la liste des personnes recherchées à l’échelle internationale.
Ces victoires symboliques ne masquent pas la réalité du terrain. Le modèle du rançongiciel en tant que service (RaaS) prospère parce qu’il est rentable et décentralisé. GandCrab ferme, REvil prend la relève. REvil tombe, BlackCat et LockBit comblent le vide. Chaque démantèlement disperse les affiliés, qui rejoignent d’autres franchises ou en créent de nouvelles.
Daniil Shchukin a désormais un visage, un nom et un mandat d’arrêt international. Il reste, selon toute probabilité, à Krasnodar, dans la ville où il fouillait les poubelles il y a vingt ans. La prochaine étape dépend moins des enquêteurs que de la géopolitique : tant que Moscou refusera de coopérer, les cerveaux du rançongiciel resteront libres. Le BKA le sait. Mais en rendant leurs identités publiques, la police allemande leur a retiré la seule chose qui les protégeait encore mieux que la Russie : l’anonymat.
