Europol и партньорски служби удариха инфраструктурата на First VPN в 27 държави
Международна операция на правоохранителни и киберразследващи служби доведе до спирането на First VPN – VPN услуга, използвана при ransomware атаки, кражба на данни и други тежки киберпрестъпления.
По данни на Europol и Eurojust са били иззети десетки сървъри в 27 държави, идентифициран е предполагаем администратор на платформата, а в Украйна е извършено претърсване на негов адрес.
VPN услугата е рекламирана в киберпрестъпни форуми
First VPN се е рекламирала като privacy-focused VPN услуга, която:
- не съхранява логове
- игнорира искания от правоохранителни органи
- скрива реалния IP адрес на потребителите
- позволява анонимна инфраструктура за атаки
VPN услугите по принцип се използват легитимно за защита на трафика, сигурен remote access и заобикаляне на цензура. В случая обаче разследващите твърдят, че платформата е била масово използвана от ransomware оператори и други престъпни групи за прикриване на тяхната инфраструктура и местоположение.
Разследването е продължило години
Операцията е започнала още през декември 2021 г. и е била ръководена от френските и нидерландските власти. През 2023 г. е сформиран съвместен международен екип за разследване.
Според Europol разследващите са успели да проникнат в инфраструктурата на VPN услугата преди нейното изключване и са получили достъп до:
- потребителска база данни
- информация за VPN връзки
- данни за използвана инфраструктура
- следи, свързани с ransomware атаки и измами
В рамките на операцията са били:
- иззети 33 сървъра
- конфискувани домейните 1vpns.com, 1vpns.net и 1vpns.org
- спрени onion услуги
- идентифицирани потребители на платформата
- разпратени уведомления до част от тях
Данните от VPN услугата ще подпомогнат други разследвания
Според Europol събраната информация вече е използвана за създаване на десетки разузнавателни пакети, свързани с текущи и бъдещи международни разследвания.
Властите съобщават, че са споделени данни за поне 506 потребители на услугата, като информацията е свързана с:
- ransomware операции
- онлайн измами
- кражба на данни
- инфраструктура за кибератаки
- анонимизиране на престъпна дейност
Киберпрестъпниците често вярват погрешно, че VPN услугите не пазят следи
Европейските служби използваха случая, за да отправят предупреждение към киберпрестъпните среди. В публикувано видео Europol посочва, че дори когато дадена услуга обещава пълна анонимност и липса на логове, реалността често е различна.
Разследващите подчертават, че при подобни операции често се откриват остатъчни данни, връзки и потребителска информация, която впоследствие може да бъде използвана за идентифициране на участници в киберпрестъпни кампании.
Натискът срещу инфраструктурата на ransomware групите се засилва
Операцията срещу First VPN е поредният пример за нарастващия международен натиск срещу инфраструктурата, използвана от ransomware групировки и оператори на киберпрестъпни услуги.
През последните месеци правоохранителните органи засилиха действията срещу:
- bulletproof hosting доставчици
- криптоплатформи за пране на средства
- malware-as-a-service инфраструктура
- VPN и proxy услуги, използвани от ransomware оператори
- supply chain атаки срещу разработчици
Според експерти тенденцията показва, че службите вече не се фокусират единствено върху крайните извършители, а все по-често атакуват цялата екосистема, която поддържа киберпрестъпния пазар.
