Международная операция против First VPN стала ударом по криминальной инфраструктуре, которой пользовались ransomware-группы и другие киберпреступники. Сервис рекламировали на русскоязычных форумах как способ оставаться недосягаемым для правоохранителей. В ходе операции изъяли 33 сервера в 27 странах, задержали администратора и идентифицировали тысячи пользователей.
Европол сообщил о демонтаже First VPN — VPN-сервиса, который использовался для сокрытия атак с вымогателями, кражи данных и других тяжёлых киберпреступлений. Операцию 19–20 мая 2026 года возглавили Франция и Нидерланды, поддержку оказал Европол. Участвовали правоохранители семи стран, включая Украину, США, Германию, Францию, Нидерланды, Испанию и Швецию.
First VPN, также известный как 1VPNS, был не обычным потребительским VPN «для приватности». Его продвигали на русскоязычных криминальных форумах как инструмент для анонимной работы операторов вредоносного ПО, вымогателей, мошенников и продавцов украденных данных. Европол отдельно отметил, что сервис фигурировал почти в каждом крупном киберкрайм-расследовании.
В операции изъяли 33 сервера First VPN, размещённых в 27 странах. Изъяли доменные имена 1vpns[.]com, 1vpns[.]net, 1vpns[.]org.
Администратор сервиса был задержан, прошёл обыск в его доме в государстве Украина. Правоохранители также получили доступ к техническим данным, которые помогли идентифицировать тысячи пользователей сервиса. Часть из них уже получила уведомления о том, что их личности известны следствию.
Сервис использовали более 25 ransomware-групп и другие криминальные операторы. Через него скрывали IP-адреса при взломах, переговорах о выкупе, управлении ботнетами, краже данных и доступе к инфраструктуре жертв. В таких схемах VPN работает не как «защита приватности», а как слой маскировки между атакующим, C2-сервером и корпоративной сетью жертвы.
Похожая тактика применялась и раньше. В 2020 году правоохранители отключили Safe-Inet, в 2021 году — DoubleVPN, позже — VPNLab. Разница First VPN в том, что Европол называет его сервисом, который постоянно всплывал в крупных ransomware-расследованиях.
Криминальные VPN продают обещание «полной анонимности», но сами становятся точкой концентрации рисков. Оператор знает платежи, аккаунты, серверы, маршруты, обращения к панели, связки IP и время активности. Если такую инфраструктуру изымают, данные превращаются в карту клиентов.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
