Der Dienst ermöglichte anonyme Zahlungen und versprach eine verborgene Infrastruktur, die kriminelle Aktivitäten abschirmen sollte. Cyberkriminelle nutzten First VPN nach Angaben der Ermittler, um ihre Identität und Infrastruktur zu verschleiern, während sie Ransomware-Angriffe, groß angelegten Betrug und Datendiebstahl durchführten.
Die Operation wurde von Frankreich und den Niederlanden geleitet und am 19. und 20. Mai durchgeführt. Ukrainische Behörden befragten auf Ersuchen französischer Ermittler den Administrator des Dienstes und nahmen eine Hausdurchsuchung vor. Insgesamt wurden 33 mit der Plattform verbundene Server abgeschaltet.
„Über Jahre hinweg sahen Cyberkriminelle in diesem VPN-Dienst ein Tor zur Anonymität. Sie glaubten, er würde sie außerhalb der Reichweite der Strafverfolgung halten. Diese Operation beweist das Gegenteil", erklärte Edvardas Šileris, Leiter des Europäischen Zentrums zur Bekämpfung der Cyberkriminalität bei Europol. Die Abschaltung entferne „eine entscheidende Schutzschicht, auf die Kriminelle angewiesen waren, um zu operieren, zu kommunizieren und sich der Strafverfolgung zu entziehen".
Laut einer Europol-Mitteilung vom Donnerstag war First VPN in nahezu jeder größeren Cybercrime-Ermittlung aufgetaucht, die die Behörde zuletzt unterstützt hatte. Den Ermittlern gelang es, sich Zugang zum Dienst zu verschaffen und dessen Nutzerdatenbank zu erlangen. Dadurch konnten sie VPN-Verbindungen identifizieren, die mutmaßlich von Cyberkriminellen zur Verschleierung ihrer Aktivitäten genutzt wurden.
Die Daten offenbarten Tausende Nutzer mit Verbindungen zur Cybercrime-Szene und lieferten den Ermittlern neue Spuren zu Ransomware-Angriffen, Betrugsoperationen und weiteren Straftaten weltweit, so die Behörde.
Niederländische Behörden erklärten, First VPN habe sich gezielt an kriminelle Nutzer gerichtet und offen in Cybercrime-Foren beworben. Der Dienst habe behauptet, jede Zusammenarbeit mit Strafverfolgungsbehörden zu verweigern, außerhalb jeder Gerichtsbarkeit zu operieren und keine Nutzerdaten zu speichern. „Der Dienst erweckte den Eindruck, zuverlässig zu sein und seine Nutzer in Sicherheit zu wiegen, was in Wirklichkeit nicht der Fall war", so die niederländischen Behörden.
Die Nutzer wurden über die Abschaltung informiert und darüber in Kenntnis gesetzt, dass sie identifiziert worden seien. Die Ermittlungen dauern an.
