OFAC trừng phạt FirstVPN, phơi bày các liên kết tiền điện tử với các băng nhóm ransomware hàng đầu
Security & Ransomware

OFAC trừng phạt FirstVPN, phơi bày các liên kết tiền điện tử với các băng nhóm ransomware hàng đầu

Bởi vietnameselbn

OFAC trừng phạt nhà cung cấp VPN FirstVPN và hai điều hành viên liên quan đến các băng đảng ransomware hàng đầu che giấu các cuộc tấn công bằng công cụ ngụy trang phần mềm độc hại.

Văn phòng Kiểm soát Tài sản Nước ngoài của Bộ Tài chính Hoa Kỳ (OFAC) đã trừng phạt một nhà cung cấp VPN và hai cá nhân vào ngày 13 tháng 7 năm 2026.

Hành động này nêu tên FirstVPN Service, còn được gọi là 1VPNS, cùng với quản trị viên Dmytro Rashevskyi và công dân Belarus Yevgeniy Vladimirovich Silayev. FirstVPN đã bán cơ sở hạ tầng ẩn danh cho tội phạm mạng từ năm 2014. Dịch vụ này cam kết không lưu nhật ký hoạt động và không hợp tác với cơ quan thực thi pháp luật.

Các nhóm ransomware bao gồm Anubis, Qilin và Sinobi đã sử dụng dịch vụ này để che giấu nguồn gốc của các cuộc tấn công của chúng.

OFAC nhắm vào cơ sở hạ tầng ransomware, không chỉ những kẻ tấn công

Theo một báo cáo của TRM Labs, chỉ định này nhắm vào các công cụ mà các nhóm ransomware mua chứ không phải bản thân nhóm ransomware. FirstVPN cung cấp lớp ẩn danh.

Silayev cung cấp một thứ khác: một cryptor được xây dựng để ngụy trang phần mềm độc hại thành một tệp vô hại. Sự ngụy trang đó cho phép mã độc lọt qua các hệ thống bảo mật mà không bị phát hiện.

Cùng nhau, hai chỉ định bao phủ cả hai nửa của chuỗi tấn công: ẩn danh mạng và trốn tránh điểm cuối.

OFAC ban hành hành động theo Sắc lệnh Hành pháp 14390, sắc lệnh tháng 3 năm 2026 chỉ đạo các cơ quan Hoa Kỳ củng cố hệ thống chống lại tội phạm mạng nước ngoài. Nó cũng dựa trên E.O. 13694, cơ quan thẩm quyền trừng phạt mạng thường trực.

Văn phòng Đối ngoại, Khối thịnh vượng chung và Phát triển của Vương quốc Anh đã phối hợp một bộ trừng phạt tương ứng vào cùng ngày nhằm vào các tội phạm mạng khác và những kẻ tiếp tay cho chúng.

Hành động này diễn ra sau áp lực thực thi pháp luật trước đó đối với FirstVPN.

Các cơ quan châu Âu đã gỡ bỏ trang web và cơ sở hạ tầng của dịch vụ vào tháng 5 năm 2026. Văn phòng Hiện trường Boston của FBI đã hỗ trợ việc gỡ bỏ đó và sau đó đã công bố một khuyến cáo mô tả các chiến thuật của FirstVPN để các doanh nghiệp cảnh giác.

Các địa chỉ Crypto của FirstVPN trải rộng trên nhiều Blockchain

OFAC đã liệt kê năm địa chỉ tiền điện tử liên quan đến chính FirstVPN, trải rộng trên Bitcoin, Ethereum, Litecoin và Tron.

Cả năm đều truy ngược về Cryptomus, một sàn giao dịch mà OFAC đã đánh dấu là có rủi ro cao. Danh sách cá nhân của Rashevskyi có nhiều địa chỉ hơn: tổng cộng mười lăm, trải rộng trên Bitcoin, Ethereum, Tron, Litecoin, Dogecoin, Dash, Zcash và Solana.

Sự trải rộng trên tám chuỗi đó cho thấy mức độ đa dạng hóa tài sản của người điều hành FirstVPN. Ngược lại, danh sách của Silayev không kèm theo địa chỉ nào.

Kết hợp với các chỉ định VPN và cryptor, điều này vẫn đánh dấu anh ta là đối tượng bị trừng phạt vì cung cấp các công cụ che giấu cho các nhà điều hành ransomware nhắm vào các thực thể Hoa Kỳ và đồng minh.

Rashevskyi cũng sử dụng danh tính giả, được OFAC liệt kê là “Maksim Sorin” và “Roman Chabanenko”, để mua cơ sở hạ tầng máy chủ. Các nhà cung cấp đã từng gắn cờ FirstVPN vì các khiếu nại lạm dụng trước đó, vì vậy những cái tên giả đã giúp dịch vụ tiếp tục hoạt động.

Đọc thêm:

https://www.livebitcoinnews.com/u-s-sanctions-crypto-exchanges-linked-to-iran/

Dữ liệu On-Chain cho thấy các nhóm ransomware thanh toán trực tiếp cho FirstVPN

Công ty phân tích Blockchain TRM Labs đã truy vết các khoản thanh toán từ các nhóm ransomware trực tiếp đến FirstVPN trước khi các lệnh trừng phạt được áp dụng.

Nhóm ransomware Anubis đã gửi tổng cộng $715 đến dịch vụ này, chia làm hai lần vào ngày 13 tháng 12 năm 2025 và ngày 15-16 tháng 3 năm 2026. Qilin Ransomware đã gửi $120 vào ngày 11 tháng 1 năm 2026. Nhóm Sinobi đã gửi $58 vào ngày 8 tháng 2 năm 2026.

Những con số đô la đó trông nhỏ bé so với các khoản thanh toán tống tiền ransomware điển hình. Các gói đăng ký cơ sở hạ tầng thường có giá rẻ so với các khoản tiền mà chúng giúp trích xuất.

Tuy nhiên, các khoản thanh toán xác nhận rằng các nhóm ransomware được nêu tên đã phụ thuộc vào FirstVPN cho cơ sở hạ tầng hoạt động, và sự phụ thuộc đó hiện rõ trên chuỗi.

TRM Labs lưu ý rằng các dịch vụ hỗ trợ được thanh toán qua cùng một kênh mà khách hàng của chúng sử dụng để tống tiền nạn nhân. Các khoản thanh toán đó vẫn có thể truy vết được khi các nhà điều tra biết nơi cần tìm.

Các đội tuân thủ đã được khuyến nghị sàng lọc các địa chỉ mới được liệt kê trong lịch sử giao dịch của chính họ trong tương lai.

vietnameselbn

Về tác giả

vietnameselbn

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *