Zeker 25 ransomwaregroepen hebben gebruikgemaakt van First VPN, een VPN-dienst die recent door de Nederlandse politie offline is gehaald. Dit meldt de FBI, die tevens een lijst met IP-adressen van First VPN heeft vrijgegeven zodat organisaties kunnen controleren of er verbindingen vanuit hun netwerken zijn gemaakt via deze dienst. First VPN was sinds 2014 actief en beschikte over 32 exitnode-servers in 27 landen.

Bij de operatie zijn tientallen servers van First VPN in beslag genomen. De Nederlandse politie gaf aan dat het met het dataverkeer van gebruikers kon meekijken, terwijl Europol meldt dat alle gebruikers van de dienst zijn geïdentificeerd. De FBI stelt dat de VPN-adressen van First VPN werden ingezet voor verkenning, botnets, denial of service-aanvallen, scams en hackingactiviteiten door minstens 25 ransomwaregroepen.

In een bijgevoegd document adviseert de FBI organisaties om maatregelen te nemen tegen risico’s van anonimiseringsdiensten zoals First VPN. Aanbevelingen zijn onder meer het implementeren van vpn-aware toegangscontroles, het beperken van SSH en andere remote management interfaces tot vertrouwde IP-reeksen, het inspecteren van netwerkverkeer, het toepassen van het least privilege-principe en netwerksegmentatie, en het regelmatig controleren en aanpassen van firewallregels. Deze stappen helpen om de impact van misbruik van dergelijke diensten te beperken.