Las fuerzas del orden de Europa y Norteamérica llevaron a cabo los días 19–20 de mayo una operación coordinada para el desmantelamiento de First VPN Service, un servicio VPN que, según Europol, fue creado específicamente para dar servicio a ciberdelincuentes. Según informa el FBI, la infraestructura del servicio fue utilizada por al menos 25 grupos de ransomware, incluido Avaddon Ransomware, para realizar reconocimiento de red, intrusiones, fraudes a gran escala y robo de datos. Durante la operación se incautaron 33 servidores, se confiscaron dominios y se realizó un registro en Ucrania, en el que se interrogó al administrador del servicio.
Cronología y alcance de la operación
La investigación comenzó ya en diciembre de 2021. La operación fue dirigida por Francia y los Países Bajos con el apoyo de otros 16 países: Luxemburgo, Rumanía, Suiza, Ucrania, Reino Unido, Canadá, Alemania, Estados Unidos, España, Suecia, Dinamarca, Estonia, Letonia, Lituania, Polonia y Portugal. La fase activa tuvo lugar los días 19–20 de mayo e incluyó actuaciones simultáneas en varias jurisdicciones: registro en Ucrania, interrogatorio del administrador, desconexión de 33 servidores e incautación de la infraestructura.
Según el comunicado de Eurojust, se confiscaron los dominios 1vpns[.]com, 1vpns[.]net, 1vpns[.]org, así como los dominios onion asociados en la red Tor.
Infraestructura técnica de First VPN
Según la alerta del FBI, el servicio operaba aproximadamente desde 2014 y contaba con 32 nodos de salida en 27 países. Tres nodos se encontraban en territorio de Estados Unidos.
El servicio ofrecía un amplio conjunto de protocolos de conexión: OpenConnect, WireGuard, Outline y VLess TCP Reality. Entre las opciones de cifrado figuraban OpenVPN ECC, L2TP/IPSec y PPTP. Merece especial atención la compatibilidad con los protocolos VLESS y Reality, que permiten camuflar el tráfico VPN como tráfico HTTPS normal en los puertos web estándar, lo que dificulta considerablemente su detección por los sistemas de monitorización de red.
La asistencia técnica a los clientes se prestaba a través de un servidor Jabber autoalojado y del mensajero Telegram.
Indicadores de compromiso
Direcciones IP de los nodos de salida en territorio de Estados Unidos, indicadas en la alerta del FBI:
2.223.66[.]1035.181.234[.]5992.38.148[.]58
Dominios confiscados:
1vpns[.]com1vpns[.]net1vpns[.]org
El servicio se anunciaba en los foros ciberdelincuenciales de habla rusa Exploit[.]in y XSS[.]is como una herramienta para eludir a las fuerzas del orden.
Modelo de negocio del servicio criminal
First VPN funcionaba con un modelo de suscripción con tarifas flexibles: desde 2 dólares por un día hasta 483 dólares por un año. El pago se aceptaba mediante Bitcoin, Perfect Money, Webmoney, EgoPay e InterKass, un conjunto de sistemas de pago característico del segmento clandestino de Internet, donde la prioridad es el anonimato de las transacciones.
El servicio se presentaba bajo el lema «Anonimato, Estabilidad, Seguridad» y afirmaba no registrar logs, imposibilitar la vinculación de una dirección IP a un usuario concreto y negarse a colaborar con cualquier autoridad judicial. Al mismo tiempo, en las FAQ se incluía una cláusula sobre la «prohibición estricta» de utilizar los servidores para actividades ilegales, un evidente colchón jurídico no respaldado por ningún control real.
Contexto de la amenaza e importancia de la operación
El desmantelamiento de First VPN se enmarca en una serie de operaciones internacionales dirigidas a eliminar la infraestructura que da servicio al ecosistema de programas de ransomware. La declaración del FBI de que al menos 25 grupos de ransomware utilizaron el servicio pone de relieve el papel de First VPN como uno de los elementos clave de la capa de infraestructura que garantiza el anonimato de los atacantes. Entre los usuarios mencionados figura el grupo Avaddon Ransomware, aunque la lista completa de grupos y las pruebas que los respaldan no se han revelado en los materiales públicos.
El periodo de funcionamiento de casi una década del servicio (desde 2014) y su presencia en 27 países demuestran hasta qué punto este tipo de servicios criminales se integran en la infraestructura de red global. El uso de protocolos avanzados de ofuscación de tráfico, como VLESS y Reality, muestra que los operadores de servicios criminales adaptan activamente tecnologías legítimas de elusión de la censura a las necesidades de la ciberdelincuencia.
Recomendaciones prácticas
- Revisión de logs de red: las organizaciones deben revisar los registros históricos de tráfico de red en busca de conexiones con las direcciones IP indicadas (2.223.66[.]103, 5.181.234[.]59, 92.38.148[.]58) y los dominios 1vpns[.]com/net/org. La detección de dichas conexiones puede indicar un compromiso.
- Supervisión de tráfico ofuscado: preste atención al tráfico HTTPS anómalo, que podría ser una conexión VPN camuflada mediante los protocolos VLESS/Reality. La inspección profunda de paquetes y el análisis de los patrones de conexión ayudarán a identificar este tipo de actividad.
- Actualización de reglas de bloqueo: añada los indicadores de compromiso mencionados a los sistemas SIEM, IDS/IPS y cortafuegos.
- Análisis de suscripciones: si en la organización se detectan indicios de uso de First VPN, esto es motivo para una investigación completa del incidente, ya que el servicio estaba directamente vinculado a la actividad de grupos de ransomware.
El desmantelamiento de First VPN priva a decenas de grupos criminales de una herramienta habitual de anonimización, pero no elimina la demanda de servicios similares. Las organizaciones deberían utilizar los indicadores de compromiso publicados para realizar un análisis retrospectivo del tráfico de red y dar prioridad a la detección de conexiones VPN ofuscadas: esta técnica, implementada mediante VLESS y Reality, se empleará cada vez más en los ataques con independencia del destino de un servicio concreto.
