Les autoritats d’Europa i Amèrica del Nord han anunciat el desmantellament d’un servei de xarxa privada virtual (VPN) criminal que feien servir actors criminals per ocultar els orígens dels atacs de programari de segrest (ransomware), robatori de dades, escaneig i atacs de denegació de servei.

Amb el nom en clau Operació Saffron, la interrupció del First VPN va ser dirigida per França i els Països Baixos, amb el suport d’altres nacions a la investigació des del desembre del 2021, com ara Luxemburg, Romania, Suïssa, Ucraïna, el Regne Unit, Canadà, Alemanya, els Estats Units, Espanya, Suècia, Dinamarca, Estònia, Letònia, Lituània, Polònia i Portugal.

Segons l’Europol, First VPN oferia serveis dissenyats específicament per a ús delinqüent, cosa que facilitava pagaments anònims i una infraestructura oculta que permetia que els clients de pagament ocultessin les seves identitats en dur a terme atacs de programari de segrest, frau a gran escala i robatori de dades. Es va promocionar en fòrums de ciberdelinqüència de parla russa com ara Exploit[.]in i XSS[.]is com una eina per evadir les forces de seguretat.

L’operació internacional va tenir lloc entre el 19 i el 20 de maig, durant la qual les autoritats van dur a terme una sèrie d’accions simultànies que van incloure interrogar l’administrador del servei, dur a terme un escorcoll domiciliari a Ucraïna, desactivar 33 servidors i confiscar infraestructures utilitzades per donar suport a l’activitat ciberdelinqüent a nivell mundial.

Els noms dels dominis confiscats es mostren a continuació:

• 1vpns[.]com.

• 1vpns[.]net.

• 1vpns[.]org.

• Dominis onion relacionats que operen a la xarxa Tor.

«El lloc web de First VPN es promocionava emfatitzant l’anonimat, prometent als seus usuaris que no cooperaria amb cap autoritat judicial, que no emmagatzemaria dades i que el servei no estaria subjecte a cap jurisdicció», va afirmar Eurojust.

L’Europol també va dir que els usuaris de First VPN han estat notificats del tancament i van advertir que les seves identitats ja són conegudes per les autoritats. Bitdefender, que va donar suport a la investigació a través de l’Europol i va compartir informació vinculada a 506 usuaris, va dir que la interrupció dels serveis d’anonimització augmenta el cost d’operació a tot l’ecosistema ciberdelinqüent.

«Apareixeran nous serveis d’anonimització. La demanda econòmica no ha canviat. Però cada retirada escurça la finestra operativa del següent servei i augmenta la barrera per als actors que confiaven en solucions clau en mà», va dir l’empresa de ciberseguretat romanesa. «First VPN es va anunciar com un servei en què els delinqüents podien confiar per mantenir-los fora de l’abast de les forces de seguretat. L’operació va demostrar que aquesta afirmació era errònia, i tots els actors que avaluen el pròxim servei d’anonimització ara saben que hi ha el mateix risc.»

En una alerta coordinada, l’Oficina Federal d’Investigació dels Estats Units (FBI) va dir que el servei ha estat actiu des del 2014 aproximadament, ha proporcionat 32 servidors de nodes de sortida a 27 països. Tres dels nodes de sortida estaven ubicats als Estats Units.

• 2.223.66[.]103

• 5.181.234[.]59

• 92.38.148[.]58

Altres nodes de sortida estaven situats a Alemanya, Austràlia, Àustria, Bèlgica, Canadà, Xipre, Finlàndia, França, Hong Kong, Itàlia, Letònia, Luxemburg, Moldàvia, Països Baixos, Panamà, Polònia, Romania, Rússia, Sèrbia, Singapur, Espanya, Suècia, Suïssa, Turquia, Ucraïna i el Regne Unit.

Es diu que no menys de 25 grups de programari de segrest, com ara Avaddon Ransomware, van utilitzar la infraestructura de First VPN per dur a terme reconeixements i intrusions de xarxa. La durada de la subscripció oscil·lava entre un dia i un any. Segons el pla de subscripció, costaven entre 2 dòlars per un sol dia i 483 dòlars per un any sencer. Acceptava pagaments a través de Bitcoin, Perfect Money, Webmoney, EgoPay i InterKass.

«El primer servei VPN oferia diversos protocols de connexió, com ara l’OpenConnect, WireGuard, Outline i VLess TCP Reality, i múltiples opcions de xifratge, com ara l’OpenVPN ECC, L2TP/IPSec i PPtP», va dir l’FBI.

«També es va oferir suport tècnic als usuaris a través d’un servidor Jabber autoallotjat i un servei de missatgeria xifrada de Telegram. Entre les opcions de protocol VPN, First VPN Service oferia ‘VLESS’ i ‘Reality’, que permeten disfressar el trànsit d’Internet VPN com a trànsit HTTPS a través de ports que s’utilitzen habitualment per connectar-se a llocs web.»

Segons les instantànies capturades a Internet Archive, First VPN va oferir «Anonimat, Estabilitat, Seguretat», tot afirmant que «No emmagatzemem cap registre que ens permeti a nosaltres o a tercers associar una adreça IP en un període de temps específic amb l’usuari del nostre servei.»

«Les úniques dades que emmagatzemem són el correu electrònic i el nom d’usuari, però és impossible connectar l’activitat de l’usuari a Internet amb un usuari específic del nostre servei», va afegir.

Com a forma d’evitar la responsabilitat, First VPN també va assenyalar a les seves preguntes freqüents que prohibia «estrictament» l’ús dels seus servidors per a activitats il·lícites. «Això simplifica la recepció de queixes sobre els nostres servidors i, com a resultat, seran desactivats», deia la pregunta freqüent.