Der Dienst First VPN war nach Darstellung des FBI seit 2014 in Betrieb und stellte zum Zeitpunkt seiner Zerschlagung 32 Exit-Nodes in 27 Ländern bereit. Vermarktet wurde er auf russischsprachigen Cybercrime-Foren im Darknet. Mindestens 25 Ransomware-Gruppen sollen ihn für die Erkundung fremder Netzwerke und für Eindringversuche eingesetzt haben.
Mit dem Dienst verbundene IP-Adressen tauchten dem FBI zufolge auch im Zusammenhang mit Scanning, Botnetzen, DoS-Angriffen und Hacking auf. Die Behörde stellte eine Warnmeldung bereit, die technische Details, Kompromittierungsindikatoren, Zuordnungen zum MITRE-ATT&CK-Rahmenwerk sowie Empfehlungen enthält.
Nach Angaben von Europol nahmen die beteiligten Strafverfolger und Partner 33 mit First VPN verknüpfte Server vom Netz und unterbrachen die unterstützende Infrastruktur. Im Visier standen die Domains 1vpns.com, 1vpns.net und 1vpns.org sowie zugehörige Onion-Adressen. Der mutmaßliche Betreiber des Dienstes wurde in der Ukraine festgenommen.
„Die Nutzer des kriminellen Dienstes wurden über die Abschaltung benachrichtigt und darüber informiert, dass sie identifiziert wurden", teilte Europol mit. Daten zu 506 Nutzern seien international weitergegeben worden.
Das an der Operation beteiligte Unternehmen Bitdefender wies darauf hin, dass diese 506 Nutzer nur ein Teil des Kundenstamms von First VPN seien; die Ermittler müssten erst klären, welche von ihnen sich mit kriminellen Aktivitäten in Verbindung bringen lassen. „Einige werden bekannten Ransomware-Gruppen zugeordnet werden. Andere werden Betrugsoperationen, Kampagnen zum Datendiebstahl oder Cybercrime-as-a-Service-Infrastruktur offenlegen, von deren Existenz wir nichts wussten", erklärte das Sicherheitsunternehmen.
Bitdefender betonte zugleich die Grenzen solcher Maßnahmen: Es würden neue Anonymisierungsdienste entstehen, da sich die wirtschaftliche Nachfrage nicht verändert habe. „Aber jede Zerschlagung verkürzt das Zeitfenster des nächsten Dienstes und erhöht die Hürde für Akteure, die auf schlüsselfertige Lösungen angewiesen waren." First VPN habe sich als Dienst beworben, auf den sich Kriminelle verlassen könnten, um außerhalb der Reichweite der Strafverfolgung zu bleiben – die Operation habe diese Behauptung widerlegt.
