L’OFAC sanctionne FirstVPN et expose les liens cryptographiques vers les principaux gangs de ransomwares
Security & Ransomware

L’OFAC sanctionne FirstVPN et expose les liens cryptographiques vers les principaux gangs de ransomwares

Par frenchlbn

L’OFAC sanctionne le fournisseur de VPN FirstVPN et deux opérateurs liés aux principaux gangs de ransomwares qui dissimulent des attaques à l’aide d’outils de dissimulation de logiciels malveillants.

Le Trésor américainBureau de contrôle des avoirs étrangersa sanctionné un fournisseur VPN et deux individus le 13 juillet 2026. 

L’action nomme FirstVPN Service, également appelé 1VPNS, ainsi que l’administrateur Dmytro Rashevskyi et le ressortissant biélorusse Yevgeniy Vladimirovich Silayev. FirstVPN vend une infrastructure d’anonymisation aux cybercriminels depuis 2014. Il ne promet aucun journal d’activité ni aucune coopération avec les forces de l’ordre. 

Des groupes de ransomwares, notamment Anubis, Qilin et Sinobi, ont utilisé le service pour cacher la source de leurs attaques.attaques.

L’OFAC cible l’infrastructure des ransomwares, pas seulement les attaquants

Selon unrapportpar TRM Labs, cette désignation vise les outils achetés par les groupes de ransomwares plutôt que le groupe de ransomwares lui-même. FirstVPN a fourni la couche d’anonymisation. 

Silayev a fourni quelque chose de différent : un cryptor conçu pour déguiser les logiciels malveillants en fichiers inoffensifs. Ce déguisement permet à un code malveillant de passer au-delà des systèmes de sécurité sans être détecté. 

Ensemble, les deux désignations couvrent les deux moitiés de la chaîne d’attaque, l’anonymat du réseau et l’évasion des points finaux.

L’OFAC a pris cette mesure en vertu du décret 14390, l’ordonnance de mars 2026 ordonnant aux agences américaines de renforcer leurs systèmes contre la cybercriminalité étrangère. Il s’est également appuyé sur E.O. 13694, l’autorité permanente en matière de cyber-sanctions. 

Le Bureau des Affaires étrangères, du Commonwealth et du Développement du Royaume-Uni a coordonné uneensemble de sanctionsle même jour contre d’autres cybercriminels et leurs complices.

Cette action fait suite à des pressions antérieures des forces de l’ordre sur FirstVPN. 

Les autorités européennes ont fermé le site Web et l’infrastructure du service en mai 2026. Le bureau extérieur du FBI à Boston a soutenu ce retrait et a ensuite publié un avis décrivant les tactiques de FirstVPN à surveiller par les entreprises.

Les adresses cryptographiques de FirstVPN couvrent plusieurs blockchains

L’OFAC a répertorié cinq adresses de crypto-monnaie liées à FirstVPN lui-même, couvrant Bitcoin, Ethereum, Litecoin et Tron. 

Tous les cinq remontent à Cryptomus, un échange signalé par l’OFAC comme à haut risque. La liste individuelle de Rashevskyi comporte bien plus d’adresses : quinze au total, réparties sur tout le territoire.Bitcoin,Ethereum, Tron, Litecoin, Dogecoin, Dash, Zcash et Solana.

Cette répartition sur huit chaînes montre à quel point l’opérateur de FirstVPN a diversifié ses avoirs. En revanche, la liste de Silayev ne comportait aucune adresse. 

Associé aux désignations VPN et cryptor, cela le marque toujours comme sanctionnable pour avoir fourni des outils d’obscurcissement aux opérateurs de ransomware ciblant les États-Unis et les entités alliées.

Rashevskyi a également utilisé de fausses identités, répertoriées par l’OFAC comme « Maksim Sorin » et « Roman Chabanenko », pour acheter une infrastructure de serveur. Les fournisseurs avaient déjà signalé FirstVPN pour des plaintes pour abus, de sorte que les faux noms ont permis au service de continuer à fonctionner.

Lire aussi : 

Les États-Unis sanctionnent les échanges cryptographiques liés à l’Iran

Les données en chaîne montrent que les groupes de ransomware paient directement FirstVPN

La société d’analyse de blockchain TRM Labs a retracé les paiements des groupes de ransomware directement jusqu’à FirstVPN avant l’arrivée des sanctions. 

Le groupe de ransomware Anubis a envoyé un total de 715 $ au service, répartis entre le 13 décembre 2025 et le 15 au 16 mars 2026. Qilin Ransomware a envoyé 120 $ le 11 janvier 2026. Le groupe Sinobi a envoyé 58 $ le 8 février 2026.

Ces chiffres semblent minimes à côté des paiements typiques d’extorsion de ransomware. Les abonnements aux infrastructures ont tendance à être bon marché par rapport aux paiements qu’ils permettent d’extraire. 

Néanmoins, les paiements confirment que les groupes de ransomwares nommés s’appuyaient sur FirstVPN pour l’infrastructure opérationnelle, et que cette dépendance apparaît sur la chaîne.

TRM Labs a noté que les services habilitants sont payés via les mêmes voies que leurs clients utilisent pour extorquer les victimes. Ces paiements restent traçables une fois que les enquêteurs savent où chercher. 

Il a été conseillé aux équipes de conformité de vérifier les adresses nouvellement répertoriées par rapport à leurs propres historiques de transactions à l’avenir.

Source : Live Bitcoin News

frenchlbn

À propos de l'auteur

frenchlbn

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *