Um serviço de rede privada virtual chamado First VPN, usado em ataques de ransomware e roubo de dados, foi tirado do ar em uma operação internacional conjunta de autoridades policiais.
As autoridades apreenderam dezenas de servidores do First VPN em 27 países, prenderam o administrador e realizaram uma busca domiciliar na Ucrânia.
O serviço de VPN era divulgado em vários fóruns de cibercrime como uma solução voltada à privacidade, que não registra dados dos usuários e ignora solicitações de informações feitas por autoridades policiais.
Ferramentas de VPN criptografam o tráfego dos usuários e ocultam seus endereços IP reais.
Embora sejam usadas legitimamente para proteger a privacidade em redes Wi-Fi públicas, contornar a censura, reduzir o rastreamento e permitir trabalho remoto seguro, threat actors também recorrem a esses serviços para esconder sua localização e infraestrutura.
Dependendo da região em que atuam, provedores de VPN podem ser legalmente obrigados a atender solicitações de autoridades e entregar quaisquer dados que mantenham para investigações criminais.
Segundo a Europol, o nome do serviço apareceu em quase todas as grandes investigações de cibercrime apoiadas pela agência.
A Europol afirma que os domínios do First VPN foram derrubados.
A investigação sobre o serviço começou em dezembro de 2021 e foi liderada pelas autoridades da França e da Holanda, que formaram uma equipe conjunta de investigação em novembro de 2023.
Em determinado momento, os investigadores se infiltraram na infraestrutura da VPN antes de ela ser desligada e coletaram dados de tráfego que permitiram identificar usuários do serviço.
“Uma força-tarefa operacional foi criada na Europol, reunindo investigadores de 16 países para analisar os dados apreendidos e coordenar a troca de inteligência com parceiros internacionais”, explica a Eurojust.
Uma operação internacional coordenada entre 19 e 20 de maio teve como alvo o serviço First VPN e resultou nas seguintes ações:
- apreensão de 33 servidores ligados ao First VPN
- apreensão dos domínios 1vpns.com, 1vpns.net, 1vpns.org e de domínios onion relacionados
- interrupção da infraestrutura principal que sustentava o serviço
- identificação e interrogatório de um suspeito ucraniano
- envio de notificações aos usuários identificados da plataforma
O comunicado da polícia holandesa confirma que todos os usuários do First VPN foram identificados e notificados diretamente, embora não tenham sido informados números específicos, e não está claro se há planos para eventual ação judicial contra eles.
O anúncio da Europol menciona que informações sobre 506 usuários foram compartilhadas internacionalmente, além de 83 “pacotes de inteligência” que devem ajudar investigações em andamento ou futuras.
“A inteligência coletada expôs milhares de usuários ligados ao ecossistema de cibercrime e gerou pistas operacionais relacionadas a ataques de ransomware, esquemas de fraude e outros crimes graves em todo o mundo”, afirma a Europol.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...