德國警方鎖定2名俄籍黑客：運營全球最大勒索軟件4年，卷走40億

2019年1月，德國一家中型制造企業(yè)的IT主管在凌晨3點被電話驚醒——全部服務(wù)器被鎖，屏幕跳出一行字："你的文件已被GandCrab加密，72小時內(nèi)支付贖金，否則永久刪除。"這不是演習。當時沒人知道，這個勒索軟件背后的運營者，此刻正坐在俄羅斯某處的公寓里，看著全球受害者的贖金像自來水一樣流進加密貨幣錢包。

五年后，德國聯(lián)邦刑事警察局（BKA）終于掀開了這張桌子。2024年4月，BKA發(fā)布通緝令，指認兩名俄羅斯公民——Daniil Maksimovich Shchukin和Anatoly Sergeevich Kravchuk——為GandCrab及其繼任者REvil的核心運營者。警方稱，這對組合在2019年初至2021年7月間，以勒索軟件即服務(wù)（RaaS，Ransomware-as-a-Service）模式，對德國境內(nèi)130個組織發(fā)動攻擊，造成損失超過3500萬歐元（約4000萬美元），團伙至少獲利190萬歐元。

從"退休宣言"到全球通緝：一個勒索帝國的興衰

GandCrab的崛起堪稱勒索軟件史上的教科書案例。2018年1月，它在地下論壇首次亮相，采用RaaS模式運營——核心團隊負責開發(fā)維護，下游"加盟商"負責入侵投放，利潤分成。這種模式把網(wǎng)絡(luò)犯罪做成了可規(guī)模化的SaaS生意。

到2018年中，GandCrab已成為全球最活躍的勒索軟件家族之一。它利用漏洞利用工具包（exploit kits）、釣魚郵件和惡意下載傳播，開發(fā)團隊保持高頻更新，幾乎每月迭代版本。2019年達到巔峰期，全球勒索軟件感染事件中GandCrab占比遙遙領(lǐng)先， affiliate（加盟分銷者）們賺得盆滿缽滿。

然后，劇情出現(xiàn)反轉(zhuǎn)。2019年6月，運營者突然宣布"退休"，聲稱總收入約20億美元，個人套現(xiàn)1.5億美元并成功洗白。這份囂張的告別信引發(fā)連鎖反應(yīng)：多個繼任者試圖填補真空，其中REvil（又稱Sodinokibi）迅速崛起，成為GandCrab的精神續(xù)作。

REvil的作案手法更激進。2021年7月，該團伙攻擊美國IT管理軟件商Kaseya，通過供應(yīng)鏈感染下游1500多家企業(yè)，索要7000萬美元贖金。同月，德國警方認定的運營時間窗口恰好在此結(jié)束——是巧合，還是執(zhí)法壓力下的被迫收手？

為什么現(xiàn)在才鎖定身份？跨國網(wǎng)絡(luò)犯罪的追訴困境

德國警方此次公開通緝，本身就說明了一件事：傳統(tǒng)司法手段對藏身俄羅斯的嫌疑人近乎無效。BKA在聲明中坦承，兩人據(jù)信位于俄羅斯境內(nèi)，"不排除其旅行可能"，故向全球公眾征集線索。

這種措辭暴露了跨境網(wǎng)絡(luò)犯罪追訴的核心痛點。俄羅斯與西方國家在引渡問題上長期僵持，多起高調(diào)勒索案的主謀至今逍遙法外。2022年，美國曾懸賞1000萬美元征集REvil成員信息；2023年，俄羅斯聯(lián)邦安全局（FSB）聲稱應(yīng)美方請求逮捕14名REvil關(guān)聯(lián)人員，但后續(xù)起訴與引渡杳無音訊。

德國選擇此時公開，或許與2024年初歐洲多國聯(lián)合打擊勒索軟件基礎(chǔ)設(shè)施的行動有關(guān)。今年2月，荷蘭、德國、美國等國聯(lián)合查封了LockBit勒索軟件的服務(wù)器，繳獲超過200個加密貨幣錢包。對GandCrab/REvil舊案的重新激活，可能是同一波執(zhí)法浪潮的延續(xù)。

20億美元 vs 190萬歐元：數(shù)字背后的分贓邏輯

警方通報中的兩組數(shù)字值得玩味。GandCrab運營者自稱套現(xiàn)1.5億美元（約20億美元總收入），而德國警方僅確認團伙獲利190萬歐元。差距懸殊，但并非矛盾。

RaaS模式的核心是分層抽成。核心開發(fā)團隊通常拿走贖金的20%-30%，剩余歸實際執(zhí)行入侵的affiliate。若20億美元為真，核心團隊按25%抽成計算約5億美元，與1.5億美元套現(xiàn)聲明基本吻合——其余可能用于運營成本、洗錢損耗或再投資。德國警方追蹤的190萬歐元，僅是德國境內(nèi)案件的可確認流向，或是某個特定錢包的凍結(jié)金額。

更關(guān)鍵的是，加密貨幣的混幣（mixing）和跨鏈兌換讓資金流向極難追蹤。運營者宣稱"洗白"的1.5億美元，若以2021年比特幣均價計算，約對應(yīng)3萬枚BTC。這筆錢若分散存入多個合規(guī)交易所的"白錢包"，再逐步兌換為法幣購買房產(chǎn)、股權(quán)，追查難度呈指數(shù)級上升。

德國警方此次公開嫌疑人全名與照片，打破了網(wǎng)絡(luò)犯罪調(diào)查中常見的匿名慣例。這種"人肉搜索式執(zhí)法"的潛臺詞是：既然抓不到，就讓其社會性死亡。對于習慣隱匿于屏幕后的黑客而言，曝光真實身份可能比牢獄之災(zāi)更具威懾——前提是，他們還在乎正常生活。

通緝令發(fā)布兩周后，網(wǎng)絡(luò)安全社區(qū)流傳一則未經(jīng)證實的消息：某暗網(wǎng)論壇出現(xiàn)疑似Shchukin的賬號，發(fā)帖詢問"如何獲得新身份文件"。帖子很快被刪除。如果屬實，這意味著德國警方的公開策略正在奏效——獵物開始移動，而移動中的獵物，往往更容易暴露。