OFAC nahm am Montag First VPN Service, auch als 1VPNS bezeichnet, und dessen Administrator Dmytro Rashevskyi auf die Sanktionsliste. Nach Angaben der Behörde hatte der virtuelle private Netzwerkdienst seine Leistungen an Ransomware-Gruppen verkauft. Seit seinem Auftauchen im Jahr 2014 habe 1VPNS in Cybercrime-Foren damit geworben, keine Protokolle über Nutzeraktivitäten oder Identitäten zu speichern und nicht mit Strafverfolgern zusammenzuarbeiten.
Rashevskyi soll laut OFAC falsche Identitäten wie „Maksim Sorin“ und „Roman Chabanenko“ genutzt haben, um Infrastruktur von Unternehmen zu beschaffen, die den Dienst wegen Beschwerden über Missbrauch sonst nicht bedient hätten. Opfer von Ransomware-Angriffen unter Nutzung der 1VPNS-Infrastruktur waren nach Angaben der US-Behörden US-Unternehmen, Krankenhäuser, Finanzdienstleister und Kommunalverwaltungen.
Die Sanktionen folgen auf eine gemeinsame internationale Ermittlung gegen den Dienst. Wie im Quelltext beschrieben, begann die Untersuchung im Dezember 2021, als Strafverfolger die Infrastruktur des VPN-Anbieters infiltrierten und vor dessen Zerschlagung die Nutzerdatenbank sammelten. Im Mai nahmen europäische Strafverfolger mit Unterstützung des FBI-Außenbüros in Boston die Website und Infrastruktur von 1VPNS vom Netz. Die Maßnahme war Teil der gemeinsamen Aktion „Operation Saffron“ unter Führung französischer und niederländischer Behörden.
Im Verlauf dieser Operation beschlagnahmten die Behörden 33 Server in 27 Ländern, die mit 1VPNS in Verbindung standen. Außerdem wurde der Administrator festgenommen, und tausende Nutzer wurden offengelegt, die weltweit mit Ransomware, Betrug und anderen bösartigen Aktivitäten in Verbindung gebracht werden. Europol erklärte damals, der Name des VPN-Dienstes sei in nahezu jeder größeren Cybercrime-Ermittlung aufgetaucht, die die Behörde unterstützt habe.
Zusätzlich sanktionierte das US-Finanzministerium in dieser Woche den belarussischen Staatsbürger Yegeniy Vladimirovich Silayev. Ihm wird vorgeworfen, Crypter zu verkaufen, also Werkzeuge, mit denen Ransomware und andere Schadprogramme der Erkennung durch Sicherheitssoftware entgehen können. Nach Schätzung von US-Behörden haben Ransomware-Operationen, die 1VPNS und Crypter von Silayev nutzten, Unternehmen und Betreibern kritischer Infrastruktur in den Vereinigten Staaten Verluste in Milliardenhöhe verursacht.
Der Sprecher des US-Außenministeriums, Thomas Pigott, erklärte, diese Akteure hätten Ransomware-Gruppen Werkzeuge geliefert, „um ihre Identitäten zu verbergen, Schadsoftware zu verschleiern und der Entdeckung zu entgehen — und damit Angriffe ermöglicht, die Betreibern kritischer Infrastruktur in den USA Verluste in Milliardenhöhe zugefügt haben“. Weiter sagte er, die Vereinigten Staaten und ihre Partner zielten nicht nur auf die Ransomware-Betreiber selbst, sondern auch auf Dienstleister und Werkzeuganbieter, die solche Angriffe erst ermöglichten, um die breiteren Netzwerke hinter weltweiter Cyberkriminalität zu zerschlagen.
OFAC zufolge wurde die Maßnahme mit dem britischen Außenministerium koordiniert. Die Sanktionen blockieren sämtliches Eigentum der benannten Personen und Einrichtungen innerhalb der US-Gerichtsbarkeit. Zudem sind US-Bürgern und US-Unternehmen Transaktionen mit ihnen untersagt. Ebenfalls am Montag belegten die Europäische Union und das Vereinigte Königreich gemeinsam Dutzende russische Personen und Organisationen mit Sanktionen und warfen Russland vor, ein Netzwerk von Hackergruppen koordiniert zu haben, das mit Cyberangriffen in Europa in Verbindung steht.
