德國(guó)警方鎖定2名俄籍黑客：運(yùn)營(yíng)全球最大勒索軟件4年，卷走40億

2019年1月，德國(guó)一家中型制造企業(yè)的IT主管在凌晨3點(diǎn)被電話驚醒——全部服務(wù)器被鎖，屏幕跳出一行字："你的文件已被GandCrab加密，72小時(shí)內(nèi)支付贖金，否則永久刪除。"這不是演習(xí)。當(dāng)時(shí)沒(méi)人知道，這個(gè)勒索軟件背后的運(yùn)營(yíng)者，此刻正坐在俄羅斯某處的公寓里，看著全球受害者的贖金像自來(lái)水一樣流進(jìn)加密貨幣錢(qián)包。

五年后，德國(guó)聯(lián)邦刑事警察局（BKA）終于掀開(kāi)了這張桌子。2024年4月，BKA發(fā)布通緝令，指認(rèn)兩名俄羅斯公民——Daniil Maksimovich Shchukin和Anatoly Sergeevich Kravchuk——為GandCrab及其繼任者REvil的核心運(yùn)營(yíng)者。警方稱(chēng)，這對(duì)組合在2019年初至2021年7月間，以勒索軟件即服務(wù)（RaaS，Ransomware-as-a-Service）模式，對(duì)德國(guó)境內(nèi)130個(gè)組織發(fā)動(dòng)攻擊，造成損失超過(guò)3500萬(wàn)歐元（約4000萬(wàn)美元），團(tuán)伙至少獲利190萬(wàn)歐元。

從"退休宣言"到全球通緝：一個(gè)勒索帝國(guó)的興衰

GandCrab的崛起堪稱(chēng)勒索軟件史上的教科書(shū)案例。2018年1月，它在地下論壇首次亮相，采用RaaS模式運(yùn)營(yíng)——核心團(tuán)隊(duì)負(fù)責(zé)開(kāi)發(fā)維護(hù)，下游"加盟商"負(fù)責(zé)入侵投放，利潤(rùn)分成。這種模式把網(wǎng)絡(luò)犯罪做成了可規(guī)模化的SaaS生意。

到2018年中，GandCrab已成為全球最活躍的勒索軟件家族之一。它利用漏洞利用工具包（exploit kits）、釣魚(yú)郵件和惡意下載傳播，開(kāi)發(fā)團(tuán)隊(duì)保持高頻更新，幾乎每月迭代版本。2019年達(dá)到巔峰期，全球勒索軟件感染事件中GandCrab占比遙遙領(lǐng)先， affiliate（加盟分銷(xiāo)者）們賺得盆滿缽滿。

然后，劇情出現(xiàn)反轉(zhuǎn)。2019年6月，運(yùn)營(yíng)者突然宣布"退休"，聲稱(chēng)總收入約20億美元，個(gè)人套現(xiàn)1.5億美元并成功洗白。這份囂張的告別信引發(fā)連鎖反應(yīng)：多個(gè)繼任者試圖填補(bǔ)真空，其中REvil（又稱(chēng)Sodinokibi）迅速崛起，成為GandCrab的精神續(xù)作。

REvil的作案手法更激進(jìn)。2021年7月，該團(tuán)伙攻擊美國(guó)IT管理軟件商Kaseya，通過(guò)供應(yīng)鏈感染下游1500多家企業(yè)，索要7000萬(wàn)美元贖金。同月，德國(guó)警方認(rèn)定的運(yùn)營(yíng)時(shí)間窗口恰好在此結(jié)束——是巧合，還是執(zhí)法壓力下的被迫收手？

為什么現(xiàn)在才鎖定身份？跨國(guó)網(wǎng)絡(luò)犯罪的追訴困境

德國(guó)警方此次公開(kāi)通緝，本身就說(shuō)明了一件事：傳統(tǒng)司法手段對(duì)藏身俄羅斯的嫌疑人近乎無(wú)效。BKA在聲明中坦承，兩人據(jù)信位于俄羅斯境內(nèi)，"不排除其旅行可能"，故向全球公眾征集線索。

這種措辭暴露了跨境網(wǎng)絡(luò)犯罪追訴的核心痛點(diǎn)。俄羅斯與西方國(guó)家在引渡問(wèn)題上長(zhǎng)期僵持，多起高調(diào)勒索案的主謀至今逍遙法外。2022年，美國(guó)曾懸賞1000萬(wàn)美元征集REvil成員信息；2023年，俄羅斯聯(lián)邦安全局（FSB）聲稱(chēng)應(yīng)美方請(qǐng)求逮捕14名REvil關(guān)聯(lián)人員，但后續(xù)起訴與引渡杳無(wú)音訊。

德國(guó)選擇此時(shí)公開(kāi)，或許與2024年初歐洲多國(guó)聯(lián)合打擊勒索軟件基礎(chǔ)設(shè)施的行動(dòng)有關(guān)。今年2月，荷蘭、德國(guó)、美國(guó)等國(guó)聯(lián)合查封了LockBit勒索軟件的服務(wù)器，繳獲超過(guò)200個(gè)加密貨幣錢(qián)包。對(duì)GandCrab/REvil舊案的重新激活，可能是同一波執(zhí)法浪潮的延續(xù)。

20億美元 vs 190萬(wàn)歐元：數(shù)字背后的分贓邏輯

警方通報(bào)中的兩組數(shù)字值得玩味。GandCrab運(yùn)營(yíng)者自稱(chēng)套現(xiàn)1.5億美元（約20億美元總收入），而德國(guó)警方僅確認(rèn)團(tuán)伙獲利190萬(wàn)歐元。差距懸殊，但并非矛盾。

RaaS模式的核心是分層抽成。核心開(kāi)發(fā)團(tuán)隊(duì)通常拿走贖金的20%-30%，剩余歸實(shí)際執(zhí)行入侵的affiliate。若20億美元為真，核心團(tuán)隊(duì)按25%抽成計(jì)算約5億美元，與1.5億美元套現(xiàn)聲明基本吻合——其余可能用于運(yùn)營(yíng)成本、洗錢(qián)損耗或再投資。德國(guó)警方追蹤的190萬(wàn)歐元，僅是德國(guó)境內(nèi)案件的可確認(rèn)流向，或是某個(gè)特定錢(qián)包的凍結(jié)金額。

更關(guān)鍵的是，加密貨幣的混幣（mixing）和跨鏈兌換讓資金流向極難追蹤。運(yùn)營(yíng)者宣稱(chēng)"洗白"的1.5億美元，若以2021年比特幣均價(jià)計(jì)算，約對(duì)應(yīng)3萬(wàn)枚BTC。這筆錢(qián)若分散存入多個(gè)合規(guī)交易所的"白錢(qián)包"，再逐步兌換為法幣購(gòu)買(mǎi)房產(chǎn)、股權(quán)，追查難度呈指數(shù)級(jí)上升。

德國(guó)警方此次公開(kāi)嫌疑人全名與照片，打破了網(wǎng)絡(luò)犯罪調(diào)查中常見(jiàn)的匿名慣例。這種"人肉搜索式執(zhí)法"的潛臺(tái)詞是：既然抓不到，就讓其社會(huì)性死亡。對(duì)于習(xí)慣隱匿于屏幕后的黑客而言，曝光真實(shí)身份可能比牢獄之災(zāi)更具威懾——前提是，他們還在乎正常生活。

通緝令發(fā)布兩周后，網(wǎng)絡(luò)安全社區(qū)流傳一則未經(jīng)證實(shí)的消息：某暗網(wǎng)論壇出現(xiàn)疑似Shchukin的賬號(hào)，發(fā)帖詢問(wèn)"如何獲得新身份文件"。帖子很快被刪除。如果屬實(shí)，這意味著德國(guó)警方的公開(kāi)策略正在奏效——獵物開(kāi)始移動(dòng)，而移動(dòng)中的獵物，往往更容易暴露。