Die internationale Operation gegen First VPN wurde am 19. und 20. Mai durchgeführt und stellt einen bedeutenden Erfolg im Kampf gegen organisierte Cyberkriminalität dar. Ukrainische Behörden verhafteten auf Anfrage französischer Ermittler den Administrator des Dienstes und führten Hausurchungen durch. Parallel dazu demantierten europäische Strafverfolgungsbehörden 33 Server, die mit der Plattform verknüpft waren.
First VPN hatte sich über Jahre hinweg als ideales Werkzeug für Kriminelle positioniert. Der Dienst ermöglichte anonyme Zahlungen und versprach eine versteckte Infrastruktur, die illegale Aktivitäten verschleiert. Cyberkriminelle nutzten die Plattform, um ihre Identität und technische Infrastruktur während Ransomware-Angriffen, großflächigen Betrugsschemata und Datendiebstählen zu verbergen.
“Jahrelang sahen Cyberkriminelle diesen VPN-Dienst als Tor zur Anonymität. Sie glaubten, sich damit der Reichweite der Strafverfolgung entziehen zu können. Diese Operation beweist das Gegenteil,” erklärte Edvardas Sileris, Leiter des Europäischen Zentrums für Cyberkriminalität bei Europol. “Die Abschaltung entzieht Kriminellen eine kritische Schutzschicht, auf die sie zum Operieren, Kommunizieren und zur Flucht vor Strafverfolgung angewiesen waren.”
Ein entscheidender Durchbruch war der Zugang zu First VPN und die Sicherung der Nutzerdatenbank. Dies ermöglichte es Ermittlern, VPN-Verbindungen zu identifizieren, die mutmaßlich von Cyberkriminellen zur Verschleierung ihrer Aktivitäten genutzt wurden. Die freigewordenen Daten offenbarten Tausende von Nutzern aus der Cybercrime-Szene und lieferten neue Ermittlungsansätze für Ransomware-Anschläge, Betrugsfälle und weitere Straftaten weltweit.
Die niederländischen Behörden betonten, dass First VPN gezielt auf kriminelle Nutzer ausgerichtet war und sich offen auf Cybercrime-Foren beworbhatte. Der Dienst warb damit, nicht mit Strafverfolgungsbehörden zu kooperieren, außerhalb jeglicher Rechtsordnung zu operieren und keine Nutzerdaten zu speichern. “Der Dienst vermittelte den Eindruck der Zuverlässigkeit und Sicherheit für seine Nutzer, was in der Realität nicht zutraf,” hielten die niederländischen Ermittler fest.
Alle identifizierten Nutzer wurden über die Abschaltung benachrichtigt und informiert, dass sie identifiziert worden sind. Die Ermittlungen werden fortgesetzt. Für deutsche Sicherheitsbehörden und Unternehmen, die von Ransomware-Attacken betroffen sind, könnte diese Operation wertvolle Erkenntnisse zur Verfolgung der Verantwortlichen bringen.