OFAC sanktioniert den VPN-Anbieter FirstVPN und zwei Betreiber, die mit führenden Ransomware-Banden in Verbindung stehen und Angriffe mithilfe von Schadsoftware-Tarntools verbergen.
Das US-FinanzministeriumAmt für die Kontrolle ausländischer Vermögenswertehat am 13. Juli 2026 einen VPN-Anbieter und zwei Personen sanktioniert.
Die Aktion nennt FirstVPN Service, auch 1VPNS genannt, zusammen mit dem Administrator Dmytro Rashevskyi und dem weißrussischen Staatsbürger Yevgeniy Vladimirovich Silayev. FirstVPN verkaufte seit 2014 anonymisierende Infrastruktur an Cyberkriminelle. Es versprach keine Aktivitätsprotokolle und keine Zusammenarbeit mit den Strafverfolgungsbehörden.
Ransomware-Gruppen wie Anubis, Qilin und Sinobi nutzten den Dienst, um die Quelle ihrer Ransomware zu verbergenAngriffe.
OFAC zielt auf Ransomware-Infrastruktur ab, nicht nur auf Angreifer
Laut aBerichtLaut TRM Labs bezieht sich diese Bezeichnung auf die Tools, die Ransomware-Gruppen kaufen, und nicht auf eine Ransomware-Gruppe selbst. FirstVPN stellte die Anonymisierungsebene bereit.
Silayev lieferte etwas anderes: einen Kryptor, der Malware als harmlose Datei tarnen soll. Durch diese Tarnung kann bösartiger Code unentdeckt an Sicherheitssystemen vorbeischlüpfen.
Zusammen decken die beiden Bezeichnungen beide Hälften der Angriffskette ab: Netzwerkanonymität und Endpoint-Umgehung.
OFAC erließ die Klage gemäß Executive Order 14390, der Anordnung vom März 2026, die US-Behörden anweist, Systeme gegen ausländische Cyberkriminalität zu härten. Es stützte sich auch auf E.O. 13694, die ständige Cyber-Sanktionsbehörde.
Das Foreign, Commonwealth & Development Office des Vereinigten Königreichs koordinierte einen MatchingReihe von Sanktionenam selben Tag gegen andere Cyberkriminelle und ihre Ermöglicher.
Die Aktion folgt einem früheren Druck der Strafverfolgungsbehörden auf FirstVPN.
Europäische Behörden haben die Website und Infrastruktur des Dienstes im Mai 2026 abgeschaltet. Die Außenstelle des FBI in Boston unterstützte diese Abschaltung und veröffentlichte später einen Hinweis, in dem die Taktiken von FirstVPN beschrieben wurden, auf die Unternehmen achten sollten.
🚨 Heute,@USTreasuryDas OFAC sanktionierte FirstVPN Service (1VPNS), Administrator Dmytro Rashevskyi und Yevgeniy Silayev – die „Kryptoren“ verkauften, die Malware als sichere Dateien tarnten.
Seit 2014 verspricht FirstVPN Cyberkriminellen keine Protokolle und keine Zusammenarbeit mit den Strafverfolgungsbehörden. Ransomware-Gruppen…pic.twitter.com/ZtFhMgWHiR
— TRM Labs (@trmlabs)13. Juli 2026
Die Kryptoadressen von FirstVPN erstrecken sich über mehrere Blockchains
OFAC listete fünf Kryptowährungsadressen auf, die mit FirstVPN selbst verknüpft sind und die Bitcoin, Ethereum, Litecoin und Tron umfassen.
Alle fünf gehen auf Cryptomus zurück, eine von der OFAC als risikoreich eingestufte Börse. Rashevskyis Einzeleintrag enthält weitaus mehr Adressen: insgesamt fünfzehn, verteiltBitcoin,Ethereum, Tron, Litecoin, Dogecoin, Dash, Zcash und Solana.
Diese Verteilung auf acht Ketten zeigt, wie weit der Betreiber von FirstVPN seine Bestände diversifiziert hat. Im Gegensatz dazu enthielt Silayevs Eintrag keine Adressen.
In Kombination mit den VPN- und Kryptor-Bezeichnungen gilt er immer noch als strafbar für die Bereitstellung von Verschleierungstools für Ransomware-Betreiber, die es auf US-amerikanische und verbündete Unternehmen abgesehen haben.
Rashevskyi nutzte auch falsche Identitäten, die vom OFAC als „Maksim Sorin“ und „Roman Chabanenko“ aufgeführt wurden, um Serverinfrastruktur zu kaufen. Anbieter hatten FirstVPN bereits zuvor wegen Missbrauchsbeschwerden gemeldet, sodass der Dienst aufgrund der falschen Namen weiter lief.
Lesen Sie auch:
Die USA verhängen Sanktionen gegen mit dem Iran verbundene Kryptowährungsbörsen
On-Chain-Daten zeigen, dass Ransomware-Gruppen FirstVPN direkt bezahlen
Das Blockchain-Analyseunternehmen TRM Labs hat Zahlungen von Ransomware-Gruppen direkt an FirstVPN zurückverfolgt, bevor die Sanktionen verhängt wurden.
Die Ransomware-Gruppe Anubis überwies insgesamt 715 US-Dollar an den Dienst, aufgeteilt auf den Zeitraum vom 13. Dezember 2025 und vom 15. bis 16. März 2026. Die Ransomware Qilin überwies am 11. Januar 2026 120 US-Dollar. Die Sinobi-Gruppe überwies am 8. Februar 2026 58 US-Dollar.
Diese Dollarbeträge wirken im Vergleich zu typischen Ransomware-Erpressungszahlungen gering. Infrastrukturabonnements sind im Vergleich zu den Auszahlungen, die sie erzielen, tendenziell günstig.
Dennoch bestätigen die Zahlungen, dass namentlich genannte Ransomware-Gruppen sich bei der betrieblichen Infrastruktur auf FirstVPN verlassen haben, und dass sich die Abhängigkeit auch in der Kette zeigt.
TRM Labs stellte fest, dass die Bereitstellung von Diensten über die gleichen Kanäle bezahlt wird, die ihre Kunden nutzen, um Opfer zu erpressen. Diese Zahlungen bleiben nachvollziehbar, sobald die Ermittler wissen, wo sie suchen müssen.
Den Compliance-Teams wurde empfohlen, die neu aufgeführten Adressen künftig anhand ihrer eigenen Transaktionshistorie zu überprüfen.
Quelle: Live Bitcoin News





Schreibe einen Kommentar