EUA sancionam primeiro serviço de VPN e vendedor de malware cryptor por apoio a ransomware
14 de Julho de 2026 Atualizado em 14 de Julho de 2026

O Escritório de Controle de Ativos Estrangeiros do Departamento do Tesouro dos Estados Unidos, conhecido como OFAC, sancionou duas pessoas e uma entidade por viabilizar ataques de ransomware contra organizações americanas.

Na segunda-feira, o OFAC incluiu na lista de sanções a First VPN Service, ou 1VPNS, uma provedora de rede privada virtual que vendia serviços para grupos de ransomware, e seu administrador, Dmytro Rashevskyi, de 45 anos. O departamento também sancionou o cidadão bielorrusso Yegeniy Vladimirovich Silayev, acusado de vender cryptors usados para disfarçar ransomware e outros malware como programas legítimos, com o objetivo de evitar a detecção por ferramentas de segurança.

Desde que surgiu em 2014, a 1VPNS anunciava em fóruns de cibercrime que não mantinha registros da atividade nem da identidade dos usuários e que não colaboraria com as autoridades. Segundo as investigações, Rashevskyi usava identidades falsas, como “Maksim Sorin” e “Roman Chabanenko”, para contratar infraestrutura junto a empresas que normalmente recusariam o serviço por causa de denúncias de abuso.

As sanções foram anunciadas depois de a polícia europeia derrubar, em maio, o site e a infraestrutura da 1VPNS, com apoio do escritório do FBI em Boston, como parte de uma ação conjunta chamada Operação Saffron, liderada por autoridades francesas e holandesas. A investigação sobre a 1VPNS começou em dezembro de 2021, quando agentes infiltraram a infraestrutura da VPN e coletaram seu banco de dados de usuários antes da desativação.

Ao longo da operação conjunta, as autoridades apreenderam 33 servidores ligados à 1VPNS em 27 países, prenderam o administrador e expuseram milhares de usuários associados a ransomware, fraudes e outras atividades maliciosas em todo o mundo. Na época, a Europol também afirmou que o nome do serviço de VPN havia aparecido em quase todas as grandes investigações de cibercrime que apoiou.

Segundo os investigadores, o serviço ajudava criminosos a ocultar a origem de ataques de ransomware, roubo de dados, varreduras de rede e ataques de negação de serviço. Segundo o Tesouro, vários grupos de ransomware teriam comprado o serviço First VPN para atacar empresas e instituições dos Estados Unidos, esconder sua verdadeira origem, distribuir malware e gerenciar dados exfiltrados.

Entre as vítimas que tiveram infraestrutura associada à VPN estavam empresas americanas, companhias de serviços financeiros, hospitais e governos municipais. Autoridades dos EUA afirmaram que grupos de ransomware que usaram serviços fornecidos pelas partes sancionadas causaram prejuízos de bilhões de dólares a empresas americanas e a provedores de infraestrutura crítica.

“Ao atingir não apenas os operadores de ransomware, mas também os provedores de serviços e os fornecedores de ferramentas que tornam esses ataques possíveis, os Estados Unidos e seus parceiros estão desmontando as redes mais amplas que sustentam a atividade cibercriminosa em todo o mundo”, afirmou o porta-voz do Departamento de Estado, Thomas Pigott.

O Reino Unido e a União Europeia impõem sanções a indivíduos e entidades russas

A divulgação coincide com sanções aplicadas pelo Reino Unido e pela União Europeia contra redes cibernéticas russas por suas “tentativas persistentes e cada vez mais imprudentes de semear caos e divisão em toda a Europa”.

As medidas atingem 24 indivíduos e entidades ligados a operações cibernéticas e híbridas destrutivas, incluindo operadores envolvidos em redes de proxy associadas aos Serviços de Inteligência da Rússia (RIS).

Entre os alvos estão membros da alta liderança da Diretoria Principal de Inteligência da Rússia (GRU), Vyacheslav Stafeyev, Ivan Senin e Ivan Kasyanenko, pelo papel na direção de operações cibernéticas e híbridas do GRU.

Em paralelo, o Centro 16 do Serviço Federal de Segurança (FSB) foi atribuído a operações de sabotagem que causaram interrupções na rede elétrica da Polônia no fim do ano passado.

“A divisão cibernética da Unidade 29155 do GRU trabalhou com cibercriminosos, incluindo a empresa IMPULS, para recrutar hackers e especialistas em cibersegurança de universidades e academias em toda a Rússia”, afirmou o governo britânico.

As sanções também miram indivíduos ligados ao Lumma Stealer, por permitirem que cibercriminosos coletem informações sensíveis de dispositivos comprometidos em larga escala.

Segundo as autoridades, a Rússia teria usado as credenciais roubadas por esse infostealer para conduzir operações de espionagem cibernética contra alvos em todo o mundo, em apoio aos objetivos do Kremlin.

“Cibercriminosos, autodenominados hacktivistas e empresas privadas ligadas à Rússia, incluindo atores que agem sob suas instruções, direção ou controle, também realizaram, facilitaram e viabilizaram uma ampla gama de atividades maliciosas”, disse a União Europeia.

“Condenamos veementemente o comportamento da Rússia e o uso indevido desse ecossistema cibernético, com alvos em serviços públicos e infraestrutura crítica, causando interrupções e perdas financeiras. Ao expor o comportamento malicioso da Rússia e impor custos aos responsáveis por essas atividades, a UE reforça sua determinação em promover a responsabilização no ambiente cibernético.”

Apoio estatal russo mira roteadores

As sanções também chegam na esteira de um novo alerta emitido pelo FBI sobre agentes cibernéticos do Centro 16 do FSB, que estariam explorando dispositivos de rede mal configurados e vulneráveis em todo o mundo para invadir oportunisticamente redes de múltiplos setores de infraestrutura crítica.

“Os agentes cibernéticos do Centro 16 do FSB da Rússia usam principalmente varreduras para identificar dispositivos de rede mal configurados, sobretudo roteadores, para exploração”, informou a agência.

“Os atores procuram faixas de IP na internet com agentes ativos do protocolo Simple Network Management Protocol (SNMP) que aceitam cadeias comunitárias comuns ou padrão para autenticação.”

Essas varreduras, realizadas por meio de proxies, consistem em SNMP Set-Requests enviados a partir de um IP falsificado, contendo Identificadores de Objeto (OIDs) que instruem o agente SNMP em dispositivos de rede mal configurados a copiar sua configuração para um arquivo e transferi-la para um servidor privado virtual (VPS) controlado pelo atacante ou para um servidor FTP comprometido.

A atividade também envolve a exploração de Vulnerabilidades e Exposições Comuns (CVEs) em dispositivos Cisco, como CVE-2018-0171 e CVE-2008-4128 , para localizar e explorar equipamentos de rede mal configurados.

A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) adicionou posteriormente a CVE-2008-4128 ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo que órgãos federais apliquem as correções até 16 de julho de 2026.

Publicidade

Anuncie no CaveiraTech e coloque sua marca na frente de milhares de profissionais de cybersecurity

Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...