CyberkriminalitätRansomwareHackerangriffe

First VPN zerschlagen: Cybercrime-Service offline, Administrator verhaftet

Von CyberDeutsch Redaktion
First VPN zerschlagen: Cybercrime-Service offline, Administrator verhaftet
Zusammenfassung

Behörden in Nordamerika und Europa haben eine internationale Polizeioperation gegen „First VPN" durchgeführt, einen kriminellen Dienst, der seit 2014 aktiv ist und von mindestens 25 Ransomware-Gruppen für Netzwerk-Aufklärung und Eindringversuche genutzt wurde. Das FBI zufolge betrieb der Service 32 Exit-Knoten in 27 Ländern und wurde primär in russischsprachigen Dark-Web-Foren für Cyberkriminelle beworben. Bei der Aktion wurden 33 Server abgeschaltet und die Infrastruktur zerstört, die für Ransomware-Attacken, Botnets, DDoS-Anschläge und Hacking-Operationen genutzt wurde. Der mutmaßliche Administrator wurde in der Ukraine verhaftet. Europol teilte international Informationen zu 506 Nutzern des kriminellen Dienstes, wobei Ermittler nun prüfen werden, welche davon mit bekannten Ransomware-Gruppen, Betrugsbanden oder anderen Cybercrime-Operationen verbunden sind. Für deutsche Unternehmen und Behörden ist dies relevant, da die Infrastruktur von First VPN potenziell auch für Angriffe auf deutsche Ziele missbraucht wurde. Der Fall demonstriert zwar die Möglichkeit der Strafverfolgung, doch warnen Experten, dass neue Anonymisierungsdienste entstehen werden – der Druck auf Cyberkriminelle nimmt aber zu.

Die internationale Strafverfolgung hat einen bedeutenden Schlag gegen die Cybercrime-Infrastruktur gelandet: First VPN, ein in russischsprachigen Dark-Web-Foren beworbener Service, wurde vollständig zerschlagen. Das FBI zufolge war der Service seit über einem Jahrzehnt aktiv und betrieb zum Zeitpunkt der Aktion 32 Exit-Nodes in 27 Ländern.

Die Ermittler verfolgten den Service über eine beachtliche Zeitspanne. First VPN diente mindestens 25 bekannten Ransomware-Gruppen als zentrale Infrastruktur für ihre Operationen. Mit dem Service verbundene IP-Adressen waren an Netzwerk-Scans, Botnet-Aktivitäten, DDoS-Attacken und Hacking-Versuchen beteiligt. Das FBI veröffentlichte einen detaillierten Alert mit technischen Indikatoren (IoCs) und MITRE ATT&CK-Mappings.

Die operative Phase der Störmaßnahme war beeindruckend koordiniert: Europol berichtet von 33 beschlagnahmten Servern und der Zerschlagung der zugehörigen Infrastruktur. Die Behörden identifizierten und sicherten die Domains 1vpns.com, 1vpns.net, 1vpns.org sowie das zugehörige Onion-Portal. Der mutmaßliche Administrator des Services wurde in der Ukraine festgenommen.

Besonders aufschlussreich: Die Ermittler teilten Informationen zu 506 Nutzern des Services international aus. Europol betont, dass diese Zahl nur einen Teil der Gesamtnutzerschaft darstellt. Bitdefender, das an der Operation beteiligt war, vermutet, dass unter den identifizierten Nutzern sowohl bekannte Ransomware-Gruppen als auch bislang unbekannte Betreiber von Betrugskampagnen und Datendiebstahl-Operationen zu finden sein werden.

Die Cybersecurity-Branche wertet die Aktion als wichtiges Signal: Zwar werden neue Anonymisierungsdienste entstehen, doch jede erfolgreiche Zerschlagung erhöht die Hürden und verkürzt das Operationsfenster für Cyberkriminelle. First VPN warb damit, dass die Plattform Kriminelle zuverlässig vor Strafverfolgung schütze – ein Versprechen, das diese Operation fundamental in Frage stellt.

Für deutsche Unternehmen und Behörden unterstreicht dieser Fall die Bedeutung von Threat Intelligence und schneller Incident Response. Das BSI empfiehlt Organisationen, die Indikatoren des FBI zu nutzen, um ihre Systeme auf mögliche Kompromittierungen zu überprüfen.

Ähnliche Artikel