Per anni è stata presentata come una semplice VPN capace di garantire anonimato totale online, ma dietro quella promessa di privacy si muoveva un’infrastruttura usata da gruppi criminali per ransomware, intrusioni informatiche e traffico illecito di dati sensibili.
Le autorità europee hanno smantellato First VPN, un servizio finito da tempo sotto osservazione per il suo legame con il cybercrime internazionale. L’operazione, coordinata da Francia e Paesi Bassi con il supporto di Europol ed Eurojust, ha portato al sequestro di 33 server distribuiti in 27 Paesi e all’identificazione di centinaia di utenti collegati alla piattaforma.
Dietro quella che sembrava una normale rete privata virtuale si nascondeva in realtà uno degli strumenti più utilizzati dai gruppi ransomware per coprire le proprie tracce durante gli attacchi informatici.
Le VPN vengono normalmente utilizzate per cifrare il traffico internet e nascondere l’indirizzo IP dell’utente. Sono strumenti legittimi, usati ogni giorno da aziende, lavoratori in smart working e persone che vogliono proteggere la propria privacy online. Il problema nasce quando questi servizi vengono progettati o pubblicizzati come ambienti “sicuri” per attività illegali.
Secondo gli investigatori, First VPN veniva promossa all’interno di forum russi frequentati da gruppi specializzati in ransomware e frodi digitali. La piattaforma avrebbe garantito l’assenza di collaborazione con le forze dell’ordine, diventando così una sorta di rifugio per chi organizzava attacchi informatici contro aziende, enti pubblici e infrastrutture digitali.
Gli utenti sfruttavano il servizio per nascondere la provenienza delle connessioni durante intrusioni nei sistemi informatici, furti di dati e richieste di riscatto milionarie. In molti casi le VPN di questo tipo vengono usate anche per spostare denaro o comunicare in maniera anonima tra gruppi criminali distribuiti in più Paesi.
L’operazione internazionale e i server sequestrati
L’indagine era iniziata già nel 2021 e si è sviluppata lentamente attraverso il monitoraggio delle infrastrutture utilizzate dai cybercriminali. Alla fine le autorità sono riuscite a ricostruire la rete che sosteneva il servizio.
Oltre ai 33 server sequestrati, sono stati chiusi diversi domini collegati alla piattaforma e perquisita un’abitazione in Ucraina. L’amministratore del servizio è stato interrogato dagli investigatori francesi mentre Europol ha coordinato lo scambio di informazioni tra i vari Paesi coinvolti.
Secondo l’European Cybercrime Centre, First VPN compariva in numerose indagini legate al ransomware internazionale. Non si trattava quindi di un caso isolato, ma di un’infrastruttura che avrebbe avuto un ruolo centrale nel fornire anonimato operativo ai gruppi criminali.
Perché questa operazione cambia qualcosa(www.webnews.it)
Negli ultimi anni le autorità hanno iniziato a colpire non solo gli hacker, ma anche tutto l’ecosistema che permette agli attacchi di funzionare. Server, hosting “bulletproof”, servizi di anonimizzazione e piattaforme di comunicazione sono diventati bersagli prioritari delle indagini internazionali.
Il motivo è semplice: senza queste infrastrutture, organizzare attacchi ransomware su larga scala diventa molto più complicato. I criminali fanno affidamento su reti distribuite e servizi difficili da tracciare per spostarsi tra diverse giurisdizioni e cancellare le tracce delle proprie attività.
Il fenomeno continua però a crescere anche in Europa e in Italia. Negli ultimi mesi diversi enti pubblici e aziende sono stati colpiti da ransomware con blocchi operativi, furti di dati e lunghi tempi di ripristino dei sistemi.
La differenza tra una VPN legittima e una piattaforma criminale
Il caso First VPN rischia anche di creare confusione attorno alle VPN tradizionali. Una VPN legittima resta uno strumento utile per proteggere la navigazione, soprattutto su reti pubbliche o connessioni non sicure. Il problema emerge quando il servizio viene progettato per garantire copertura sistematica ad attività illegali e viene pubblicizzato direttamente negli ambienti del cybercrime.
Le indagini mostrano infatti che molti gruppi ransomware non operano più in modo improvvisato. Dietro gli attacchi esiste un vero mercato parallelo fatto di servizi acquistabili, infrastrutture affittate e strumenti pensati appositamente per rendere difficile il lavoro delle autorità.
Ed è proprio su questi “fornitori invisibili” che ora si sta concentrando gran parte della guerra contro il ransomware globale.
