A polícia europeia fez o que qualquer bom segurança de boate faria: invadiu um serviço de VPN usado por gangues de ransomware e outros delinquentes digitais, identificou milhares de usuários, depois fechou tudo e prendeu o responsável.
A Europol anunciou ontem que a operação teve como alvo o First VPN, um serviço cujo site agora exibe um aviso de apreensão em vez das promessas habituais de invisibilidade total. “Por anos, o serviço, conhecido como ‘First VPN’, foi promovido em fóruns de crimes cibernéticos de língua russa como uma ferramenta confiável para ficar fora do alcance da polícia”, disse a agência. Acontece que essa confiança era um tanto equivocada.
A investigação começou em dezembro de 2021 e, em algum momento, os investigadores conseguiram entrar no serviço, pegar seu banco de dados de usuários e identificar conexões VPN usadas por criminosos tentando se esconder. A Bitdefender, empresa de segurança, deu uma mão. “A inteligência coletada expôs milhares de usuários ligados ao ecossistema do crime cibernético”, disse a Europol.
A Polícia Nacional Holandesa observou que, antes de apreender os domínios, “a polícia tinha acesso ao tráfego criminoso dos usuários do serviço, que acreditavam erroneamente estar seguros”. Isso é o equivalente digital de descobrir que seu esconderijo secreto tinha uma câmera escondida o tempo todo.
O site do First VPN, preservado pelo Internet Archive, prometia ocultar endereços IP, criptografar comunicações e esconder ações “do provedor e de outras pessoas interessadas”. Também fazia a clássica promessa de “sem logs”, garantindo que nenhum registro seria mantido para a polícia ou outros terceiros. “O Grande Irmão está te vigiando, nós não!”, proclamava o site. Bem, o Grande Irmão estava vigiando, só não era o que eles esperavam.
A VPN anunciava principalmente em fóruns de criminosos cibernéticos, mirando criminosos como potenciais clientes e afirmando que nunca cooperaria com qualquer autoridade judicial. A Eurojust, agência de cooperação judiciária da UE, disse que o First VPN prometia “não cooperar com qualquer autoridade judicial, que não armazenaria dados e que o serviço não estaria sujeito a nenhuma jurisdição”.
O First VPN estava ativo desde 2014 e fornecia 32 servidores de saída em 27 países, disse o FBI em um alerta de inteligência. Anunciava em fóruns de língua russa que “fornecem mercados para criminosos cibernéticos comprarem e venderem acesso não autorizado a sistemas de computador, informações de identificação pessoal roubadas, ferramentas de hacking e contrabando”. Pelo menos 25 grupos de ransomware, incluindo o Avaddon Ransomware, usaram a infraestrutura do First VPN para reconhecimento de rede e invasões. O FBI observou que seus endereços IP foram usados para atividades de varredura, botnets, ataques de negação de serviço, golpes e hacking.
A operação produziu 83 “pacotes de inteligência”, compartilhou informações sobre 506 usuários internacionalmente e avançou 21 investigações apoiadas pela Europol até agora. As autoridades derrubaram a VPN em 19 e 20 de maio, “entrevistaram o administrador e realizaram uma busca domiciliar na Ucrânia”, e desmantelaram 33 servidores. Apreensões de domínio alvejaram 1vpns.com, 1vpns.net, 1vpns.org e domínios onion associados. “Os usuários do serviço criminoso foram notificados sobre o encerramento e informados de que foram identificados”, acrescentou a Europol, o que provavelmente não é a notificação que eles esperavam.