OFAC sanktioniert FirstVPN, enthüllt Krypto-Verbindungen zu führenden Ransomware-Banden
Security & Ransomware

OFAC sanktioniert FirstVPN, enthüllt Krypto-Verbindungen zu führenden Ransomware-Banden

Von germanlbn

OFAC sanktioniert VPN-Anbieter FirstVPN und zwei Betreiber, die mit den wichtigsten Ransomware-Banden in Verbindung stehen, die Angriffe mit malware-tarnenden Tools verbergen.

Das Office of Foreign Assets Control des US-Finanzministeriums hat am 13. Juli 2026 einen VPN-Anbieter und zwei Personen sanktioniert.

Die Maßnahme nennt den FirstVPN Service, auch 1VPNS genannt, sowie den Administrator Dmytro Rashevskyi und den belarussischen Staatsbürger Yevgeniy Vladimirovich Silayev. FirstVPN verkauft seit 2014 anonymisierende Infrastruktur an Cyberkriminelle. Es versprach keine Aktivitätsprotokolle und keine Zusammenarbeit mit Strafverfolgungsbehörden.

Ransomware-Gruppen wie Anubis, Qilin und Sinobi nutzten den Dienst, um die Quelle ihrer Angriffe zu verbergen.

OFAC zielt auf Ransomware-Infrastruktur, nicht nur auf Angreifer

Laut einem Bericht von TRM Labs zielt diese Bezeichnung auf die Tools ab, die Ransomware-Gruppen kaufen, und nicht auf die Ransomware-Gruppe selbst. FirstVPN stellte die anonymisierende Schicht bereit.

Silayev lieferte etwas anderes: einen Cryptor, der entwickelt wurde, um Malware als harmlose Datei zu tarnen. Diese Tarnung lässt bösartigen Code unentdeckt an Sicherheitssystemen vorbeischlüpfen.

Zusammen decken die beiden Bezeichnungen beide Hälften der Angriffskette ab: Netzwerkanonymität und Endpunktumgehung.

OFAC erließ die Maßnahme gemäß der Executive Order 14390, der Anordnung vom März 2026, die US-Behörden anweist, Systeme gegen ausländische Cyberkriminalität zu härten. Sie stützte sich auch auf E.O. 13694, die bestehende Cyber-Sanktionsbefugnis.

Das Foreign, Commonwealth & Development Office des Vereinigten Königreichs koordinierte am selben Tag einen entsprechenden Satz von Sanktionen gegen andere Cyberkriminelle und ihre Unterstützer.

Die Maßnahme folgt auf früheren Druck der Strafverfolgungsbehörden auf FirstVPN.

Europäische Behörden legten die Website und Infrastruktur des Dienstes im Mai 2026 still. Das Boston Field Office des FBI unterstützte diese Stilllegung und veröffentlichte später einen Hinweis, der die Taktiken von FirstVPN beschreibt, auf die Unternehmen achten sollten.

Die Kryptoadressen von FirstVPN erstrecken sich über mehrere Blockchains

OFAC listete fünf Kryptowährungsadressen auf, die mit FirstVPN selbst verbunden sind, und zwar über Bitcoin, Ethereum, Litecoin und Tron.

Alle fünf führen auf Cryptomus zurück, eine Börse, die OFAC als Hochrisiko eingestuft hat. Die individuelle Auflistung von Rashevskyi enthält weitaus mehr Adressen: insgesamt fünfzehn, verteilt auf Bitcoin, Ethereum, Tron, Litecoin, Dogecoin, Dash, Zcash und Solana.

Diese Streuung über acht Chains zeigt, wie weit der Betreiber von FirstVPN seine Bestände diversifiziert hat. Die Auflistung von Silayev hingegen enthielt keine Adressen.

Gepaart mit den Bezeichnungen für VPN und Cryptor macht ihn dies dennoch sanktionierbar, da er Verschleierungswerkzeuge an Ransomware-Betreiber geliefert hat, die auf US-amerikanische und verbündete Einrichtungen abzielen.

Rashevskyi verwendete auch falsche Identitäten, die von OFAC als „Maksim Sorin“ und „Roman Chabanenko“ aufgeführt werden, um Serverinfrastruktur zu kaufen. Anbieter hatten FirstVPN zuvor wegen Missbrauchsbeschwerden gemeldet, so dass die falschen Namen den Dienst am Laufen hielten.

Lesen Sie auch:

https://www.livebitcoinnews.com/u-s-sanctions-crypto-exchanges-linked-to-iran/

On-Chain-Daten zeigen, dass Ransomware-Gruppen FirstVPN direkt bezahlen

Die Blockchain-Analysefirma TRM Labs verfolgte Zahlungen von Ransomware-Gruppen direkt zu FirstVPN, bevor die Sanktionen verhängt wurden.

Die Ransomware-Gruppe Anubis überwies insgesamt 715 $ an den Dienst, aufgeteilt zwischen dem 13. Dezember 2025 und dem 15. bis 16. März 2026. Qilin Ransomware überwies am 11. Januar 2026 120 $. Die Sinobi-Gruppe überwies am 8. Februar 2026 58 $.

Diese Dollar-Beträge wirken klein im Vergleich zu typischen Ransomware-Erpressungszahlungen. Infrastrukturabonnements sind in der Regel günstig im Vergleich zu den Auszahlungen, die sie ermöglichen.

Dennoch bestätigen die Zahlungen, dass die genannten Ransomware-Gruppen für ihre operative Infrastruktur auf FirstVPN angewiesen waren, und diese Abhängigkeit zeigt sich on-chain.

TRM Labs stellte fest, dass unterstützende Dienste über dieselben Kanäle bezahlt werden, die ihre Kunden zur Erpressung von Opfern nutzen. Diese Zahlungen bleiben nachvollziehbar, sobald Ermittler wissen, wo sie suchen müssen.

Compliance-Teams wurde geraten, die neu gelisteten Adressen künftig gegen ihre eigenen Transaktionshistorien zu prüfen.

germanlbn

Über den Autor

germanlbn

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert