De virtuele privénetwerkdienst First VPN, die werd ingezet bij ransomware- en datadiefstalactiviteiten, is offline gehaald na een internationale politieactie. Hierbij zijn tientallen servers van First VPN in 27 landen in beslag genomen, de beheerder gearresteerd en een huiszoeking uitgevoerd in Oekraïne.

First VPN werd op diverse cybercrimeforums gepromoot als een privacygerichte VPN zonder gebruikerslogs en die verzoeken van opsporingsdiensten negeerde. VPN-diensten versleutelen het internetverkeer en verbergen het echte IP-adres van gebruikers. Hoewel VPN’s legitiem worden gebruikt voor privacybescherming, censuuromzeiling en veilig thuiswerken, maken kwaadwillenden er ook gebruik van om hun locatie en infrastructuur te verbergen. Afhankelijk van de jurisdictie kunnen VPN-providers wettelijk verplicht zijn om gegevens aan opsporingsdiensten te overhandigen.

Volgens Europol kwam de naam First VPN in bijna elk groot cybercrimeonderzoek voor waarbij zij betrokken waren. De dienst is inmiddels volledig uitgeschakeld. Het onderzoek startte in december 2021 en werd geleid door Franse en Nederlandse autoriteiten, die in november 2023 een gezamenlijk onderzoeksteam vormden. Onderzoekers wisten de VPN-infrastructuur te infiltreren en verzamelden verkeersdata waarmee gebruikers konden worden geïdentificeerd.

Volgens Eurojust werd een operationele taskforce opgericht met onderzoekers uit 16 landen om de gegevens te analyseren en de informatie-uitwisseling te coördineren. De gecoördineerde actie tussen 19 en 20 mei leidde tot de inbeslagname van 33 servers, het offline halen van domeinen zoals 1vpns.com en gerelateerde onion-adressen, verstoring van de infrastructuur, identificatie en verhoor van een verdachte in Oekraïne en het informeren van gebruikers.

De Nederlandse politie bevestigt dat alle gebruikers van First VPN zijn geïdentificeerd en direct op de hoogte zijn gesteld. Er is echter geen informatie over mogelijke vervolgstappen tegen deze gebruikers. Europol meldt dat gegevens van 506 gebruikers internationaal zijn gedeeld, samen met 83 intelligencepakketten die lopende en toekomstige onderzoeken ondersteunen. De verzamelde informatie bracht duizenden gebruikers binnen het cybercrime-ecosysteem aan het licht en leverde operationele aanknopingspunten op voor ransomware, fraude en andere ernstige misdrijven wereldwijd.