L’OFAC sanctionne FirstVPN, révèle des liens cryptographiques avec les principaux gangs de ransomwares
Security & Ransomware

L’OFAC sanctionne FirstVPN, révèle des liens cryptographiques avec les principaux gangs de ransomwares

Par frenchlbn

L’OFAC sanctionne le fournisseur VPN FirstVPN et deux opérateurs liés aux principaux gangs de rançongiciels dissimulant leurs attaques via des outils de déguisement de logiciels malveillants.

L’Office of Foreign Assets Control du Trésor américain a sanctionné un fournisseur VPN et deux individus le 13 juillet 2026.

Cette action nomme FirstVPN Service, également appelé 1VPNS, ainsi que l’administrateur Dmytro Rashevskyi et le ressortissant biélorusse Yevgeniy Vladimirovich Silayev. FirstVPN vendait une infrastructure d’anonymisation aux cybercriminels depuis 2014. Il promettait l’absence de journaux d’activité et aucune coopération avec les forces de l’ordre.

Les groupes de rançongiciels, notamment Anubis, Qilin et Sinobi, utilisaient ce service pour masquer la source de leurs attaques.

L’OFAC cible l’infrastructure des rançongiciels, pas seulement les attaquants

Selon un rapport de TRM Labs, cette désignation vise les outils achetés par les groupes de rançongiciels plutôt qu’un groupe de rançongiciels en lui-même. FirstVPN fournissait la couche d’anonymisation.

Silayev fournissait quelque chose de différent : un crypteur conçu pour déguiser un logiciel malveillant en fichier inoffensif. Ce déguisement permet au code malveillant de passer inaperçu à travers les systèmes de sécurité.

Ensemble, les deux désignations couvrent les deux moitiés de la chaîne d’attaque : l’anonymat du réseau et l’évasion des points de terminaison.

L’OFAC a émis cette action en vertu du décret exécutif 14390, le décret de mars 2026 ordonnant aux agences américaines de renforcer les systèmes contre la cybercriminalité étrangère. Il s’appuie également sur le décret exécutif 13694, l’autorité permanente en matière de cyber-sanctions.

Le Bureau des Affaires étrangères, du Commonwealth et du Développement du Royaume-Uni a coordonné un ensemble de sanctions équivalent le même jour contre d’autres cybercriminels et leurs complices.

Cette action fait suite à des pressions antérieures des forces de l’ordre sur FirstVPN.

Les autorités européennes ont démantelé le site web et l’infrastructure du service en mai 2026. Le bureau de terrain du FBI à Boston a soutenu cette opération et a ensuite publié un avis décrivant les tactiques de FirstVPN à surveiller par les entreprises.

Les adresses crypto de FirstVPN couvrent plusieurs blockchains

L’OFAC a répertorié cinq adresses de cryptomonnaies liées à FirstVPN lui-même, couvrant Bitcoin, Ethereum, Litecoin et Tron.

Les cinq remontent à Cryptomus, un échange que l’OFAC a identifié comme à haut risque. La fiche individuelle de Rashevskyi comporte bien plus d’adresses : quinze au total, réparties sur Bitcoin, Ethereum, Tron, Litecoin, Dogecoin, Dash, Zcash et Solana.

Cette répartition sur huit chaînes montre à quel point l’opérateur de FirstVPN a diversifié ses avoirs. En revanche, la fiche de Silayev n’était accompagnée d’aucune adresse.

Associée aux désignations du VPN et du crypteur, elle le marque néanmoins comme sanctionnable pour avoir fourni des outils d’obscurcissement à des opérateurs de rançongiciels ciblant des entités américaines et alliées.

Rashevskyi a également utilisé de fausses identités, répertoriées par l’OFAC comme « Maksim Sorin » et « Roman Chabanenko », pour acheter une infrastructure serveur. Les fournisseurs avaient déjà signalé FirstVPN pour des plaintes d’abus, donc les faux noms ont permis au service de continuer à fonctionner.

Lire aussi :

https://www.livebitcoinnews.com/u-s-sanctions-crypto-exchanges-linked-to-iran/

Les données on-chain montrent que les groupes de rançongiciels paient FirstVPN directement

La société d’analyse blockchain TRM Labs a retracé les paiements des groupes de rançongiciels directement vers FirstVPN avant que les sanctions ne soient imposées.

Le groupe de rançongiciels Anubis a envoyé un total de 715 $ au service, répartis entre le 13 décembre 2025 et les 15-16 mars 2026. Qilin Ransomware a envoyé 120 $ le 11 janvier 2026. Sinobi Group a envoyé 58 $ le 8 février 2026.

Ces chiffres en dollars semblent faibles par rapport aux paiements de rançon typiques des rançongiciels. Les abonnements à l’infrastructure ont tendance à être bon marché par rapport aux extorsions qu’ils aident à réaliser.

Néanmoins, les paiements confirment que des groupes de rançongiciels nommés comptaient sur FirstVPN pour leur infrastructure opérationnelle, et cette dépendance apparaît sur la chaîne.

TRM Labs a noté que les services facilitateurs sont payés via les mêmes canaux que leurs clients utilisent pour extorquer les victimes. Ces paiements restent traçables une fois que les enquêteurs savent où chercher.

Les équipes de conformité ont été invitées à vérifier les adresses nouvellement répertoriées par rapport à leurs propres historiques de transactions à l’avenir.

frenchlbn

À propos de l'auteur

frenchlbn

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *