Im Zentrum der Sanktionen steht First VPN, auch als 1VPNS bezeichnet. Das US-Finanzministerium wirft dem Dienst vor, Ransomware-Gruppen mit Infrastruktur und Werkzeugen versorgt zu haben, die Angriffe auf amerikanische Kommunen, Krankenhäuser, Schulen und Unternehmen erleichterten. Laut Mitteilung half der Anbieter dabei, Identitäten zu verbergen, Schadsoftware zu tarnen und Sicherheitsmaßnahmen zu umgehen.

Der ukrainische Administrator Dmytro Rashevskyi soll nach Angaben des Finanzministeriums zudem mit falschen Identitäten Infrastruktur von Unternehmen gekauft haben. Damit habe er Geschäfte mit Anbietern ermöglicht, die eine Zusammenarbeit wegen Missbrauchsbeschwerden von Internetdienstleistern über illegale Aktivitäten von 1VPNS-Servern sonst womöglich abgelehnt hätten.

Auch Yegeniy Vladimirovich Silayev aus Belarus wurde auf die Sanktionsliste gesetzt. Ihm wird vorgeworfen, „Cryptors“ verkauft zu haben. Gemeint sind Verfahren, die Malware schwerer erkennbar und wirksamer machen, indem sie als harmlose Dateien getarnt wird. Das Finanzministerium stellt zugleich klar, dass Silayev nicht mit First VPN verbunden ist.

Die Sanktionen untersagen Personen in den USA, Geschäfte mit den gelisteten Personen und dem Anbieter abzuwickeln. Solche Maßnahmen gelten zudem als Reputationsschaden, der häufig zu sinkenden Geschäftseinnahmen führt.

Bereits im Mai hatten europäische Strafverfolgungsbehörden und das FBI First VPN vom Netz genommen. Die Behörden erklärten damals, der Dienst sei in der Vergangenheit von Cyberkriminellen genutzt worden, um Betrug, Ransomware-Angriffe und andere illegale Aktivitäten zu verbergen. Beworben worden sei das Angebot seit Langem in russischen Cybercrime-Foren.

Nach Darstellung des Finanzministeriums pries Rashevskyi First VPN als risikoarm an, weil der Dienst keine Protokolle über die Identität oder Aktivitäten seiner Nutzer speichere. Zudem habe er damit geworben, nicht mit Ermittlungen von Strafverfolgern zu illegalen Aktivitäten zu kooperieren, die von an Kunden vermieteten Servern ausgingen.

Das Ministerium nennt keine konkreten Ransomware-Gruppen, die First VPN eingesetzt haben. Es erklärt jedoch, dass viele Täter ihre Internet-Infrastruktur über den Dienst bezogen. First VPN ist demnach seit 2014 in Betrieb und wird auch in Darknet-Foren damit beworben, Botnetze und Betrüger unterschiedlichster Art zu unterstützen, während Kunden zugleich Anonymität zugesichert werde.

Das Finanzministerium beschreibt die Sanktionen als Teil eines breiteren Vorgehens: Indem nicht nur Ransomware-Betreiber, sondern auch Dienstleister und Lieferanten von Werkzeugen ins Visier genommen würden, die solche Angriffe erst ermöglichten, könnten die USA und ihre Partner die Operationen vieler Gruppen gleichzeitig stören.