Desmantelan el VPN "Anónimo" usado por extorsionadores; First VPN Service fue desconectado por las autoridades.
El FBI cerró un servicio que llevaba una década en funcionamiento.
La Oficina Federal de Investigación de Estados Unidos, junto con autoridades policiales europeas, desconectó la infraestructura del servicio anónimo First VPN Service, que durante años fue utilizado por operadores de programas de extorsión y otros ciberdelincuentes. A través de la red del servicio atacaron al menos a 25 grupos de ransomware, incluyendo Avaddon.
First VPN Service funcionó aproximadamente desde 2014 y ofrecía a sus clientes 32 nodos en 27 países. Los usuarios podían pagar la suscripción con criptomonedas y elegir varios servidores intermedios a la vez para aumentar el anonimato. El servicio soportaba OpenConnect, WireGuard, OpenVPN y otros protocolos, y además enmascaraba el tráfico como conexiones HTTPS normales. Para comunicarse usaban Jabber, Telegram e incluso ICQ.
En el informe del FBI se indica que la infraestructura de First VPN Service fue utilizada para reconocimiento de redes, intrusiones, ataques de fuerza bruta contra contraseñas, ataques DDoS y ocultación del origen del tráfico malicioso. Las direcciones del servicio también se vinculan con botnets, esquemas fraudulentos y el escaneo de servicios expuestos en internet.
El servicio se publicitaba activamente en foros clandestinos Exploit[.]in y XSS[.]is, donde se venden accesos a sistemas comprometidos, datos robados y herramientas para ataques. El FBI subrayó por separado que la advertencia se refiere únicamente a First VPN Service y no a otros proveedores de VPN con nombres similares.
La operación para desconectar la infraestructura fue llevada a cabo conjuntamente con la unidad francesa de lucha contra la ciberdelincuencia BL2C y la Unidad Nacional de Lucha contra la Delincuencia de Alta Tecnología de la policía de los Países Bajos. También prestaron ayuda Ucrania, Reino Unido, Suiza y Luxemburgo.
El documento enumera decenas de direcciones IP y dominios del servicio, incluidos 1vpns[.]com, 1vpns[.]org y 1jabber[.]com. El FBI aconseja a las empresas bloquear la infraestructura conocida de First VPN Service, supervisar con más atención las conexiones a través de VPN y reforzar la protección del acceso remoto mediante autenticación multifactor.