Auf den Punkt: Europäische und nordamerikanische Behörden haben das First VPN Service zerschlagen, einen kriminellen Anonymisierungsdienst, der von 25 Ransomware-Gruppen für Cyberanschläge und Datendiebstahl genutzt wurde. Die Operation Saffron führte zur Abschaltung von 33 Servern und 506 identifizierten Nutzern.
In einer koordinierten internationalen Operation haben Behörden aus Europa und Nordamerika einen kriminellen VPN-Dienst stillgelegt, der von mindestens 25 Ransomware-Gruppen zur Verschleierung von Cyberangriffen genutzt wurde. Die sogenannte Operation Saffron unter Führung von Frankreich und den Niederlanden zeigte, dass auch vermeintlich sichere Anonymisierungsdienste nicht vor Strafverfolgung schützen.
Die Behörden gaben die erfolgreiche Zerschlagung des First VPN Service bekannt, eines speziell für kriminelle Zwecke entwickelten Dienstes, der seit etwa 2014 in Betrieb war. Die Razzia fand am 19. und 20. Mai statt und war das Ergebnis eines koordinierten Ermittlungsverfahrens, das im Dezember 2021 begann und an dem 16 Länder beteiligt waren, darunter Luxemburg, Rumänien, die Schweiz, die Ukraine, Großbritannien, Kanada, Deutschland, die USA, Spanien, Schweden, Dänemark, Estland, Lettland, Litauen, Polen und Portugal.
First VPN warb damit, dass es keine Zusammenarbeit mit Justizbehörden leisten würde, keine Daten speichern würde und keiner Rechtsordnung unterworfen sein würde. Der Dienst akzeptierte Bitcoin, Perfect Money, Webmoney und andere Kryptowährungen als Zahlungsmittel. Die Abonnementdauer reichte von einem Tag (2 Dollar) bis zu einem Jahr (483 Dollar).
Im Rahmen der Operation wurden 33 Server abgeschaltet, die Websites 1vpns[.]com, 1vpns[.]net und 1vpns[.]org beschlagnahmt sowie zugehörige Tor-Adressen stillgelegt. Der Dienst verfügte über 32 Exit-Server in 27 Ländern, drei davon befanden sich in den USA. Mindestens 25 Ransomware-Gruppen, darunter die Avaddon-Bande, nutzten die Infrastruktur des First VPN für Netzwerk-Aufklärung und Eindringversuche. Das Cybersicherheitsunternehmen Bitdefender, das die Ermittlungen unterstützte, identifizierte 506 Nutzer des Dienstes. Diese wurden mittlerweile über die Abschaltung informiert und gewarnt, dass ihre Identitäten den Behörden bekannt sind.