Las autoridades de Europa y América del Norte han anunciado el desmantelamiento de un servicio criminal de red privada virtual (VPN) utilizado por actores criminales para ocultar los orígenes de ataques de ransomware, robo de datos, escaneo y ataques de denegación de servicio.
La interrupción del servicio First VPN fue liderada por Francia y los Países Bajos, y varias otras naciones apoyaron la investigación desde diciembre de 2021, incluidos Luxemburgo, Rumania, Suiza, Ucrania, el Reino Unido, Canadá, Alemania, Estados Unidos, España, Suecia, Dinamarca, Estonia, Letonia, Lituania, Polonia y Portugal.
La primera VPN, según Europol, ofrecía servicios diseñados específicamente para uso delictivo, permitiendo pagos anónimos y una infraestructura oculta que permitía a los clientes pagar ocultar sus identidades al llevar a cabo ataques de ransomware, fraude a gran escala y robo de datos. Fue promocionado en foros de cibercrimen de habla rusa como Exploit(.)in y XSS(.)is como una herramienta para evadir la aplicación de la ley.
La operación internacional tuvo lugar entre el 19 y 20 de mayo, durante la cual las autoridades tomaron una serie de acciones simultáneas que incluyeron entrevistar al administrador del servicio, realizar un registro domiciliario en Ucrania, derribar 33 servidores y confiscar la infraestructura utilizada para respaldar la actividad cibercriminal a nivel mundial.
Los nombres de los dominios confiscados se enumeran a continuación:
- 1vpn(.)com
- 1vpn(.)neto
- 1vpn(.)org
- Dominios cebolla relacionados que operan en la red Tor
«El sitio web de First VPN se promocionó enfatizando el anonimato, prometiendo a sus usuarios que no cooperaría con ninguna autoridad judicial, que no almacenaría datos y que el servicio no estaría sujeto a ninguna jurisdicción», dijo Eurojust.
En una alerta instantánea coordinada, la Oficina Federal de Investigaciones (FBI) de EE. UU. dijo que el servicio ha estado activo desde aproximadamente 2014, proporcionando 32 servidores de nodos de salida en 27 países. Tres de los nodos de salida estaban ubicados en EE. UU.
- 2.223.66(.)103
- 5.181.234(.)59
- 92.38.148(.)58
Otros nodos de salida estaban ubicados en Australia, Austria, Bélgica, Canadá, Chipre, Finlandia, Francia, Alemania, Hong Kong, Italia, Letonia, Luxemburgo, Moldavia, Países Bajos, Panamá, Polonia, Rumania, Rusia, Serbia, Singapur, España, Suecia, Suiza, Turquía, Ucrania y el Reino Unido.
Se dice que no menos de 25 grupos de ransomware, como Avaddon Ransomware, utilizaron la infraestructura de First VPN para realizar intrusiones y reconocimientos de red. La duración de la suscripción osciló entre un día y un año. Según el plan de suscripción, cuestan entre 2 dólares por un solo día y 483 dólares por un año completo. Aceptaba pagos a través de Bitcoin, Perfect Money, Webmoney, EgoPay e InterKass.
«El primer servicio VPN ofrecía varios protocolos de conexión, incluidos OpenConnect, WireGuard, Outline y VLess TCP Reality, y múltiples opciones de cifrado, incluidas OpenVPN ECC, L2TP/IPSec y PPtP», dijo el FBI.
«También se ofreció soporte técnico a los usuarios a través de un servidor Jabber autohospedado y un servicio de mensajería cifrada Telegram. Entre las opciones de protocolo VPN, First VPN Service ofreció ‘VLESS’ y ‘Reality’, que brindan la capacidad de disfrazar el tráfico de Internet VPN como tráfico HTTPS a través de puertos que se usan comúnmente para conectarse a sitios web».
Según las instantáneas capturadas en Internet Archive, First VPN ofrecía «anonimato, estabilidad y seguridad», afirmando que «no almacenamos ningún registro que nos permita a nosotros o a terceros asociar una dirección IP en un período de tiempo específico con el usuario de nuestro servicio».
«Los únicos datos que almacenamos son el correo electrónico y el nombre de usuario, pero es imposible conectar la actividad del usuario en Internet con un usuario específico de nuestro servicio», añadió.
Como forma de eludir la responsabilidad, First VPN también señaló en sus preguntas frecuentes que prohibía «estrictamente» el uso de sus servidores para actividades ilícitas. «Esto facilita la recepción de quejas sobre nuestros servidores y, como resultado, se desactivarán», se lee en las preguntas frecuentes.