Nach Angaben des US-Finanzministeriums war First VPN Service seit 2014 aktiv. Der Dienst habe damit geworben, weder die Identität noch die Aktivitäten seiner Nutzer zu protokollieren und nicht mit Strafverfolgern zusammenzuarbeiten, wenn von den an Kunden vermieteten Servern illegale Aktivitäten ausgehen. Mehrere Ransomware-Gruppen sollen 1VPNS gekauft haben, um Angriffe auf US-Unternehmen und Institutionen durchzuführen, ihre tatsächliche Herkunft zu verbergen, Schadsoftware auszurollen und abgeflossene Daten zu verwalten.
Zu den Opfern von Ransomware-Angriffen, bei denen die Infrastruktur des VPN-Dienstes genutzt worden sein soll, zählten laut Finanzministerium US-Unternehmen, Finanzdienstleister, Krankenhäuser und Kommunalverwaltungen. US-Vertreter erklärten zudem, Ransomware-Gruppen, die Dienste der nun sanktionierten Parteien genutzt hätten, hätten bei amerikanischen Unternehmen und Betreibern kritischer Infrastruktur Schäden in Milliardenhöhe verursacht.
Das Ministerium wirft Rashevskyi außerdem vor, falsche Identitäten verwendet zu haben, darunter „Maksim Sorin“ und „Roman Chabanenko“. Damit habe er Infrastruktur bei Unternehmen eingekauft, die Geschäfte mit ihm andernfalls womöglich abgelehnt hätten, weil Internetanbieter Beschwerden über Missbrauch und illegale Aktivitäten von 1VPNS-Servern gemeldet hatten.
Parallel dazu verhängten auch Großbritannien und die EU Sanktionen gegen russische Cyber-Netzwerke. Anlass seien deren „anhaltende und zunehmend rücksichtslose Versuche, in ganz Europa Chaos und Spaltung zu säen“. Die Maßnahmen richten sich gegen 24 Personen und Organisationen hinter zerstörerischen Cyber- und hybriden Operationen, darunter Betreiber von Proxy-Netzwerken mit Verbindungen zu russischen Nachrichtendiensten.
Dazu zählen nach britischen Angaben führende Mitglieder des russischen Militärgeheimdienstes GRU: Vyacheslav Stafeyev, Ivan Senin und Ivan Kasyanenko. Ihnen wird eine Rolle bei der Steuerung von Cyber- und hybriden Bedrohungsoperationen der GRU zugeschrieben. Außerdem wurde das Centre 16 des russischen Inlandsgeheimdienstes FSB mit störenden Sabotageoperationen gegen das polnische Energienetz gegen Ende des vergangenen Jahres in Verbindung gebracht.
Die britische Regierung erklärte zudem, die Cyber-Abteilung der GRU-Einheit 29155 habe mit Cyberkriminellen zusammengearbeitet, darunter dem Unternehmen IMPULS, um Hacker und Cyberspezialisten an Universitäten und Akademien in ganz Russland anzuwerben. Die EU wiederum erklärte, Cyberkriminelle, selbst ernannte Hacktivisten und mit Russland verbundene Privatunternehmen hätten, auch unter russischer Anleitung oder Kontrolle, ein breites Spektrum schädlicher Aktivitäten ausgeführt, ermöglicht und erleichtert.
Zu den Sanktionen gehören laut Quelle auch Maßnahmen gegen Personen hinter Lumma Stealer. Sie sollen Cyberkriminellen ermöglicht haben, in großem Stil sensible Informationen von kompromittierten Geräten abzugreifen. Nach Darstellung der Behörden habe Russland die mit dem Stealer erbeuteten Zugangsdaten für Cyberspionage gegen Ziele weltweit genutzt, um die Ziele des Kremls zu unterstützen.
Hinzu kommt eine neue Warnung des FBI zu FSB-Center-16-Akteuren. Die Behörde teilte mit, diese nutzten weltweit schlecht konfigurierte und verwundbare Netzwerkgeräte aus, um sich opportunistisch Zugang zu mehreren Netzen aus dem Bereich kritischer Infrastruktur zu verschaffen. Laut FBI setzen die Akteure vor allem auf Scans, um insbesondere Router mit aktivem SNMP zu finden, die gängige oder voreingestellte Community-Strings zur Authentifizierung akzeptieren.
Die über Proxys ausgeführten Scans bestehen demnach aus SNMP-Set-Anfragen mit gefälschter IP-Adresse und enthalten Objektkennungen, die den SNMP-Agenten auf falsch konfigurierten Geräten anweisen, ihre Konfiguration in eine Datei zu kopieren und an einen von Angreifern kontrollierten virtuellen privaten Server oder einen kompromittierten FTP-Server zu übertragen. Außerdem missbrauchten die Akteure laut FBI bekannte Schwachstellen in Cisco-Geräten, darunter CVE-2018-0171 und CVE-2008-4128, um fehlkonfigurierte Netzwerkgeräte aufzuspüren und auszunutzen. CISA hat CVE-2008-4128 inzwischen in den Katalog der bekannten ausgenutzten Schwachstellen aufgenommen und Bundesbehörden verpflichtet, die Korrekturen bis zum 16. Juli 2026 einzuspielen.
