Behörden nehmen ersten VPN-Dienst für Ransomware-Angriffe in Betrieb

First VPN, das hauptsächlich über Domains mit „1vpns" in der URL betrieben wurde – darunter 1vpns.com, 1vpns.net, 1vpns.org sowie zugehörige Onion-Domains –, war kein gewöhnlicher VPN-Dienst.

Statt sich an datenschutzbewusste Verbraucher zu richten, richtete sich der Dienst explizit an Cyberkriminelle, indem er sich auf bekannten unterirdischen und russischsprachigen Foren für Cyberkriminalität bewarb.

Die Plattform versprach ihren Nutzern offen, dass sie mit keiner Justizbehörde zusammenarbeiten werde, keine Nutzerdaten speichern werde und keiner Gerichtsbarkeit unterliege; wie Ermittler später nachwiesen, waren diese Behauptungen völlig falsch. „First VPN" abgeschaltet Laut Europol tauchte der erste VPN-Dienst in fast jeder ützten Großtat im Bereich der Cyberkriminalität auf und ermöglichte Ransomware-Angriffe, das Hacking, Betrugsschemata und Kontenübernahmen im globalen Maßstab.

Der Dienst bot anonyme Zahlungen

Der Dienst bot anonyme Zahlungen und eine verborgene Infrastruktur an, die speziell für kriminelle Zwecke konzipiert war, wodurch er zu einem vertrauenswürdigen Werkzeug für Bedrohungsakteure wurde, die die Erkennung durch Strafverfolgungsbehörden umgehen wollten.

Der Fall begann, als Eurojust im Mai 2022 auf Antrag französischer Behörden ein formales Ermittlungsverfahren einleitete, nachdem der Dienst auf bekannten kriminellen Foren identifiziert worden war.

Ein gemeinsames Ermittlungsteam (JIT) wurde im November 2023 offiziell eingerichtet, wodurch französische und niederländische Ermittler Beweismittel zusammenführen, Informationen austauschen und eine gemeinsame strafrechtliche Strategie entwickeln konnten.

Als sich die Ermittlungen ausweiteten, traten

Als sich die Ermittlungen ausweiteten, traten weitere Länder hinzu, was zur Durchführung mehrerer europäischer Ermittlungsanordnungen (EIO) und (MLA) führte, die über Eurojust koordiniert wurden., dass Ermittler vor dem Abschalten des Dienstes heimlich Zugang zur Infrastruktur Live-Kriminalverkehr, die fälschlicherweise annahmen, ihre Aktivitäten seien vollständig verschlüsselt und anonym.

Eine operative Einsatzgruppe (OTF) wurde bei Europol gebildet, die Ermittler aus 16 Ländern vereinte, um beschlagnahmte Daten zu analysieren. Die Einsatzgruppe erstellte 83 Aufklärungsberichte, die laufenden internationalen Ermittlungen übermittelt wurden, und identifizierte 506 konkrete Nutzer, deren Daten an Partnerbehörden weltweit weitergeleitet wurden.

Die gemeinsame Aktion am 19. und 20. Mai führte zu folgenden Ergebnissen: 33 Server in 27 Ländern wurden beschlagnahmt und stillgelegt. Die Domains 1vpns.com, 1vpns.net, 1vpns.org sowie zugehörige Onion-Websites wurden abgeschaltet. Ein Verdächtiger, Administrator, wurde auf Anfrage französischer Behörden in der Ukraine vernommen.

Technik und Auswirkungen

65 IP-Adressen wurden öffentlich identifiziert und online veröffentlicht. Alle identifizierten Nutzer wurden formell über die Stilllegung informiert und darauf hingewiesen, dass sie markiert wurden.

Zu den beteiligten Rechtsräumen gehörten Frankreich, die Niederlande, Luxemburg, Rumänien, die Schweiz, die Ukraine und das Vereinigte Königreich, unterstützt durch Spanien, Schweden, Kanada, Deutschland und die Vereinigten Staaten.

Die Stilllegung sendet eine klare Warnung an Anbieter krimineller Infrastrukturen. „Das Herunternehmen entfernt eine entscheidende Schutzschicht, auf die Kriminelle angewiesen waren, um zu operieren, zu kommunizieren und der Strafverfolgung zu entgehen", so Europol.