De Nederlandse en Franse politie hebben samen met Europol de VPN-dienst First VPN offline gehaald. Deze service werd door tientallen ransomwaregroepen gebruikt. Servers in 27 landen zijn uitgeschakeld en de Oekraïense beheerder is gearresteerd en verhoord. Europol verkreeg toegang tot de gebruikersdatabase en kon de identiteit van duizenden gebruikers achterhalen.
Op 19 en 20 mei is de criminele VPN-dienst First VPN door Team High Tech Crime van de Nederlandse politie offline gehaald, in samenwerking met de Franse politie en Europol. Het onderzoek liep vijf jaar. Servers in 27 landen zijn uitgeschakeld en de Oekraïense beheerder is gearresteerd.
First VPN richtte zich expliciet op cybercriminelen. De beheerder prijsde de dienst aan op hackersfora en beloofde volledige anonimiteit, inclusief anonieme betalingsmogelijkheden. “We slaan alleen e-mails en gebruikersnamen op, maar het is onmogelijk om de online activiteit van een gebruiker te koppelen met een specifieke gebruiker van onze dienst”, stelde First VPN in een post op een hackersforum. Die beloften bleken onhoudbaar. Europol verkreeg toegang tot de gebruikersdatabase, waardoor duizenden gebruikers geïdentificeerd konden worden. Volgens de FBI gebruikten minstens 25 ransomwaregroepen de dienst.
Aanknopingspunten voor lopende onderzoeken
De gegevens uit de database gaven opsporingsdiensten concrete aanknopingspunten voor verder onderzoek naar ransomwareaanvallen, fraudepraktijken en andere ernstige misdaden. Naast anonimiteit bood de dienst ook specifieke functies gericht op criminelen, zoals anonieme betalingen, wat het onderscheidde van reguliere VPN-aanbieders.
Het is niet de eerste keer dat de Nederlandse politie bijdraagt aan het neerhalen van een VPN-dienst. In 2021 haalde Team High Tech Crime ook al DoubleVPN offline, eveneens in een internationale operatie met Europol en de FBI. Ook die dienst werd actief gepromoot op hackersfora en gebruikt door ransomwaregroepen.
Valse beloften van anonimiteit
De politie benadrukt dat de werkelijkheid sterk afweek van de eigen claims van de dienst. “Hierdoor deed de dienst voorkomen alsof de dienst betrouwbaar was en haar gebruikers veilig waren, wat in realiteit niet zo was”, aldus de politie. De identiteiten van de duizenden gebruikers zijn nu bekend bij opsporingsdiensten in meerdere landen. Het onderzoek naar individuele gebruikers loopt nog.