OFAC trừng phạt nhà cung cấp VPN FirstVPN và hai nhà khai thác có liên quan đến các nhóm ransomware hàng đầu đang che giấu các cuộc tấn công bằng cách sử dụng các công cụ ngụy trang phần mềm độc hại.
Kho bạc Hoa KỳVăn phòng kiểm soát tài sản nước ngoàixử phạt một nhà cung cấp VPN và hai cá nhân vào ngày 13 tháng 7 năm 2026.
Hành động này có tên Dịch vụ FirstVPN, còn được gọi là 1VPNS, cùng với quản trị viên Dmytro Rashevskyi và Yevgeniy Vladimirovich Silayev, quốc tịch Belarus. FirstVPN đã bán cơ sở hạ tầng ẩn danh cho tội phạm mạng kể từ năm 2014. Họ hứa sẽ không có nhật ký hoạt động và không hợp tác với cơ quan thực thi pháp luật.
Các nhóm ransomware bao gồm Anubis, Qilin và Sinobi đã sử dụng dịch vụ này để che giấu nguồn gốc của chúng.các cuộc tấn công.
OFAC nhắm mục tiêu cơ sở hạ tầng ransomware, không chỉ những kẻ tấn công
Theo mộtbáo cáobởi TRM Labs, tên gọi này đặt theo các công cụ mà các nhóm ransomware mua chứ không phải chính nhóm ransomware. FirstVPN đã cung cấp lớp ẩn danh.
Silayev đã cung cấp một thứ khác: một công cụ mã hóa được xây dựng để ngụy trang phần mềm độc hại thành một tệp vô hại. Việc ngụy trang đó cho phép mã độc vượt qua hệ thống bảo mật mà không bị phát hiện.
Cùng với nhau, hai chỉ định này bao gồm cả hai nửa của chuỗi tấn công, tính ẩn danh mạng và trốn tránh điểm cuối.
OFAC đã ban hành hành động theo Sắc lệnh hành pháp 14390, mệnh lệnh tháng 3 năm 2026 chỉ đạo các cơ quan Hoa Kỳ tăng cường hệ thống chống lại tội phạm mạng nước ngoài. Nó cũng dựa vào E.O. 13694, cơ quan trừng phạt thường trực trên mạng.
Văn phòng Đối ngoại, Khối thịnh vượng chung và Phát triển của Vương quốc Anh đã phối hợpbộ biện pháp trừng phạtcùng ngày chống lại tội phạm mạng khác và những kẻ hỗ trợ chúng.
Hành động này diễn ra sau áp lực thực thi pháp luật trước đó đối với FirstVPN.
Chính quyền châu Âu đã gỡ bỏ trang web và cơ sở hạ tầng của dịch vụ này vào tháng 5 năm 2026. Văn phòng hiện trường Boston của FBI đã ủng hộ việc gỡ bỏ đó và sau đó đã xuất bản một lời khuyên mô tả các chiến thuật của FirstVPN để các doanh nghiệp theo dõi.
🚨 Hôm nay,@USTreasuryOFAC đã trừng phạt Dịch vụ FirstVPN (1VPNS), quản trị viên Dmytro Rashevskyi và Yevgeniy Silayev — những người đã bán “mật mã” ngụy trang phần mềm độc hại dưới dạng tệp an toàn.
Kể từ năm 2014, FirstVPN đã hứa với tội phạm mạng không ghi nhật ký, không hợp tác với cơ quan thực thi pháp luật. Các nhóm phần mềm tống tiền…pic.twitter.com/ZtFhMgWHiR
— Phòng thí nghiệm TRM (@trmlabs)Ngày 13 tháng 7 năm 2026
Địa chỉ tiền điện tử của FirstVPN trải rộng trên nhiều chuỗi khối
OFAC đã liệt kê năm địa chỉ tiền điện tử gắn liền với chính FirstVPN, bao gồm Bitcoin, Ethereum, Litecoin và Tron.
Tất cả năm dấu vết đều quay trở lại Cryptomus, một sàn giao dịch OFAC được gắn cờ là có rủi ro cao. Danh sách cá nhân của Rashevskyi có nhiều địa chỉ hơn: tổng cộng có 15 địa chỉ, trải rộng khắpBitcoin,Ethereum, Tron, Litecoin, Dogecoin, Dash, Zcash và Solana.
Điều đó trải rộng trên tám chuỗi cho thấy nhà điều hành FirstVPN đã đa dạng hóa cổ phần của mình đến mức nào. Ngược lại, danh sách của Silayev không có địa chỉ kèm theo.
Được kết hợp với các chỉ định VPN và nhà mật mã, nó vẫn đánh dấu anh ta là người có thể bị xử phạt vì cung cấp các công cụ làm xáo trộn cho các nhà khai thác ransomware nhắm mục tiêu vào các thực thể của Hoa Kỳ và đồng minh.
Rashevskyi cũng sử dụng danh tính giả, được OFAC liệt kê là “Maksim Sorin” và “Roman Chabanenko” để mua cơ sở hạ tầng máy chủ. Trước đây, các nhà cung cấp đã gắn cờ FirstVPN về các khiếu nại lạm dụng, vì vậy những tên giả vẫn duy trì hoạt động của dịch vụ.
Đọc thêm:
Hoa Kỳ trừng phạt các sàn giao dịch tiền điện tử có liên kết với Iran
Dữ liệu trên chuỗi cho thấy các nhóm ransomware thanh toán trực tiếp cho FirstVPN
Công ty phân tích chuỗi khối TRM Labs đã truy tìm các khoản thanh toán từ các nhóm ransomware thẳng đến FirstVPN trước khi lệnh trừng phạt có hiệu lực.
Nhóm ransomware Anubis đã gửi tổng cộng 715 USD cho dịch vụ này, chia từ ngày 13 tháng 12 năm 2025 đến ngày 15 đến ngày 16 tháng 3 năm 2026. Qilin Ransomware đã gửi 120 USD vào ngày 11 tháng 1 năm 2026. Nhóm Sinobi đã gửi 58 USD vào ngày 8 tháng 2 năm 2026.
Những con số đô la đó trông nhỏ bé so với các khoản thanh toán tống tiền ransomware điển hình. Đăng ký cơ sở hạ tầng có xu hướng rẻ hơn so với khoản thanh toán mà họ giúp trích xuất.
Tuy nhiên, các khoản thanh toán xác nhận rằng các nhóm ransomware có tên đã dựa vào FirstVPN để làm cơ sở hạ tầng hoạt động và sự phụ thuộc đó xuất hiện trên chuỗi.
TRM Labs lưu ý rằng việc kích hoạt các dịch vụ sẽ được thanh toán thông qua cùng một phương thức mà khách hàng của họ sử dụng để tống tiền nạn nhân. Những khoản thanh toán đó vẫn có thể theo dõi được khi các nhà điều tra biết nơi để tìm.
Các nhóm tuân thủ đã được khuyên nên sàng lọc các địa chỉ mới được liệt kê dựa trên lịch sử giao dịch của chính họ trong tương lai.
Nguồn: Live Bitcoin News




Để lại một bình luận