### Operação Internacional Mira VPN Criminosa Autoridades da Europa e América do Norte anunciaram a interrupção do **First VPN Service**, uma VPN criminosa usada para ocultar a origem de ataques de ransomware, violações de dados, atividades de escaneamento e ataques de negação de serviço. A operação, codinome Operação Saffron, foi liderada pela França e Holanda, com o apoio de vários outros países desde dezembro de 2021. As nações participantes incluíram Luxemburgo, Romênia, Suíça, Ucrânia, Reino Unido, Canadá, Alemanha, EUA, Espanha, Suécia, Dinamarca, Estônia, Letônia, Lituânia, Polônia e Portugal. ### First VPN: Anonimato para o Cibercrime De acordo com a **Europol**, a First VPN oferecia serviços especificamente voltados para uso criminoso. Isso incluía pagamentos anônimos e uma infraestrutura oculta projetada para ajudar os clientes a ocultar suas identidades enquanto realizavam ataques de ransomware, fraudes em larga escala e roubo de dados. O serviço era ativamente promovido em fóruns de cibercrime de língua russa como Exploit[.]in e XSS[.]is como uma ferramenta para evadir a aplicação da lei. ### Detalhes do Desmantelamento A operação internacional ocorreu entre 19 e 20 de maio. As autoridades entrevistaram o administrador do serviço, realizaram uma busca domiciliar na Ucrânia, desligaram 33 servidores e apreenderam infraestrutura em todo o mundo. Os domínios confiscados incluem: * 1vpns[.]com * 1vpns[.]net * 1vpns[.]org * Domínios onion relacionados operando na rede Tor "O site da First VPN se promovia enfatizando o anonimato, prometendo aos seus usuários que não cooperaria com nenhuma autoridade judicial, que não armazenaria dados e que o serviço não estaria sujeito a nenhuma jurisdição", declarou a **Eurojust**. ### Dados de Usuários Comprometidos A Europol notificou os usuários da First VPN que suas identidades agora são conhecidas pelas autoridades. A **Bitdefender**, que auxiliou na investigação compartilhando informações sobre 506 usuários, enfatizou que a interrupção dos serviços de anonimização aumenta o custo das operações para os cibercriminosos. A Bitdefender declarou: "Novos serviços de anonimização aparecerão. A demanda econômica não mudou. Mas cada desmantelamento encurta a janela operacional do próximo serviço e eleva a barreira para os atores que dependiam de soluções prontas. A First VPN se anunciava como um serviço em que os criminosos podiam confiar para mantê-los fora do alcance da aplicação da lei. A operação provou que essa afirmação estava errada, e todo ator que avalia o próximo serviço de anonimização agora sabe que o mesmo risco existe." ### Alerta Flash do FBI O **U.S. Federal Bureau of Investigation (FBI)** emitiu um alerta flash coordenado, observando que o serviço estava ativo desde aproximadamente 2014, operando 32 servidores de nós de saída em 27 países. Três desses nós de saída estavam localizados nos EUA: * 2.223.66[.]103 * 5.181.234[.]59 * 92.38.148[.]58 Outros nós de saída estavam localizados em vários países, incluindo Austrália, Áustria, Bélgica, Canadá, Chipre, Finlândia, França, Alemanha, Hong Kong, Itália, Letônia, Luxemburgo, Moldávia, Holanda, Panamá, Polônia, Romênia, Rússia, Sérvia, Singapura, Espanha, Suécia, Suíça, Turquia, Ucrânia e Reino Unido. ### Conexão com Ransomware Pelo menos 25 grupos de ransomware, incluindo **Avaddon Ransomware**, supostamente utilizaram a infraestrutura da First VPN para reconhecimento de rede e intrusões. As durações das assinaturas variavam de um dia a um ano, com preços variando de US$ 2 por um único dia a US$ 483 por um ano completo. Pagamentos eram aceitos via Bitcoin, Perfect Money, Webmoney, EgoPay e InterKass. ### Detalhes Técnicos "O First VPN Service oferecia vários protocolos de conexão, incluindo OpenConnect, WireGuard, Outline e VLess TCP Reality, e múltiplas opções de criptografia, incluindo OpenVPN ECC, L2TP/IPSec e PPtP", declarou o FBI. "Suporte técnico também era oferecido aos usuários via um servidor Jabber auto-hospedado e o serviço de mensagens criptografadas Telegram. Entre as opções de protocolo VPN, o First VPN Service oferecia 'VLESS' e 'Reality', que fornecem a capacidade de disfarçar o tráfego de Internet da VPN como tráfego HTTPS em portas comumente usadas para se conectar a sites." ### Falsas Promessas de Anonimato De acordo com snapshots capturados no Internet Archive, a First VPN anunciava "Anonimato, Estabilidade, Segurança", alegando: "Não armazenamos nenhum log que nos permita ou a terceiros associar um endereço IP em um determinado período de tempo ao usuário de nosso serviço." O serviço também declarava: "Os únicos dados que armazenamos são e-mail e nome de usuário, mas é impossível conectar a atividade do usuário na Internet a um usuário específico de nosso serviço." Para mitigar responsabilidades, a First VPN declarou em seu FAQ que "proibia estritamente" o uso de seus servidores para atividades ilícitas. "Isso facilita o recebimento de reclamações sobre nossos servidores e, como resultado, eles serão desativados", dizia o FAQ.