Amerikaanse sancties eerste VPN-service en Malware Cryptor-verkoper over ransomware-ondersteuning

Het Office of Foreign Assets Control (OFAC) van het Amerikaanse ministerie van Financiën heeft twee personen en een VPN-serviceprovider aangewezen om de kwaadaardige activiteiten van ransomware-actoren en andere cybercriminelen mogelijk te maken, waaronder ransomware-aanvallen tegen Amerikanen.

De VPN, genaamd Eerste VPN-service (1VPN’s), wordt ervan beschuldigd zijn tools aan te bieden aan ransomwaregroepen, samen met de 45-jarige Oekraïense beheerder, Dmytro Rashevskyi. Het ministerie heeft ook Yegeniy Vladimirovich Silayev, een Wit-Russische staatsburger, gestraft voor het verkopen van cryptors om ransomware en andere malware te verbergen als veilige programma’s om te voorkomen dat ze door beveiligingstools worden gedetecteerd.

De eerste VPN werd in mei 2026 ontmanteld als onderdeel van een gezamenlijke wetshandhavingsoperatie van de Europese en Noord-Amerikaanse autoriteiten om criminele actoren te helpen de oorsprong van ransomware-aanvallen, gegevensdiefstal, scanning en denial-of-service-aanvallen te verdoezelen. De dienst was operationeel sinds 2014 en maakte reclame dat de dienst geen logboek bijhoudt van de identiteit of activiteiten van gebruikers, en ook niet samenwerkt met wetshandhavers om illegale activiteiten aan te pakken die afkomstig zijn van servers die hij aan klanten verhuurt.

Volgens het ministerie van Financiën zouden verschillende ransomwaregroepen First VPN hebben gekocht om aanvallen op Amerikaanse bedrijven en instellingen uit te voeren en hun ware oorsprong te verbergen, malware in te zetten en geëxfiltreerde gegevens te beheren. Slachtoffers van ransomware-aanvallen waarbij de VPN-infrastructuur betrokken was, waren onder meer Amerikaanse bedrijven, financiële dienstverleners, ziekenhuizen en gemeentelijke overheden.

Ransomwaregroepen die gebruik maken van diensten die door de aangewezen partijen worden geleverd, hebben naar verluidt miljarden dollars aan verliezen veroorzaakt voor Amerikaanse bedrijven en aanbieders van kritieke infrastructuur, aldus Amerikaanse functionarissen.

“Rashevskyi heeft valse identiteiten gebruikt, waaronder ‘Maksim Sorin’ en ‘Roman Chabanenko’, om infrastructuur te kopen van bedrijven die anders misschien zouden weigeren zaken met hem te doen vanwege klachten over misbruik van internetproviders over illegale activiteiten afkomstig van 1VPNS-servers”, aldus de afdeling.

Groot-Brittannië en de EU leggen sancties op aan Russische individuen en entiteiten

De onthulling valt samen met het feit dat Groot-Brittannië en de EU Russische cybernetwerken sancties opleggen vanwege hun “aanhoudende en steeds roekelozere pogingen om chaos en verdeeldheid in heel Europa te zaaien.” De sancties zijn gericht tegen 24 personen en entiteiten die achter destructieve cyber- en hybride operaties zitten, waaronder operators die betrokken zijn bij proxynetwerken die verbonden zijn met de Russische inlichtingendiensten (RIS).

Hiertoe behoren Vyacheslav Stafeyev, Ivan Senin en Ivan Kasyanenko, senior leidinggevende leden van het Russische Hoofdinlichtingendirectoraat (GRU), vanwege hun rol bij het aansturen van cyber- en hybride dreigingsoperaties van de GRU. Tegelijkertijd wordt Centrum 16 van de Federale Veiligheidsdienst (FSB) eind vorig jaar toegeschreven aan ontwrichtende sabotageoperaties tegen het Poolse energienetwerk.

“De cyberdivisie van GRU Unit 29155 werkte samen met cybercriminelen, waaronder het bedrijf IMPULS, om hackers en cyberspecialisten van universiteiten en academies in heel Rusland te rekruteren”, aldus de Britse regering.

De sancties zijn ook gericht tegen de personen achter Lumma Stealer, die cybercriminelen in staat stellen op grote schaal gevoelige informatie van gecompromitteerde apparaten te verzamelen. Rusland zou de gestolen inloggegevens van de dief hebben gebruikt om cyberspionageoperaties uit te voeren tegen doelen over de hele wereld om de doelstellingen van het Kremlin te ondersteunen.

“Cybercriminelen, zelfbenoemde hacktivisten en particuliere bedrijven die banden hebben met Rusland, inclusief actoren die onder zijn instructies, leiding of controle opereren, hebben ook een breed scala aan kwaadaardige activiteiten uitgevoerd, mogelijk gemaakt en gefaciliteerd”, aldus de EU.

“Wij veroordelen ten stelligste het Russische gedrag en het misbruik van dit cyber-ecosysteem, waarbij publieke diensten en kritieke infrastructuur worden aangevallen en verstoringen en financiële verliezen worden veroorzaakt. Door het kwaadwillige gedrag van Rusland aan de kaak te stellen en kosten op te leggen aan degenen die verantwoordelijk zijn voor dergelijke activiteiten, onderstreept de EU haar vastberadenheid om de verantwoordelijkheid in cyberspace hoog te houden.”

Door de Russische staat gesponsorde targeting gaat achter routers aan

De sancties komen ook tegen de achtergrond van een nieuw advies van het Amerikaanse Federal Bureau of Investigation (FBI) over de exploitatie door FSB Center 16-cyberactoren van slecht geconfigureerde en kwetsbare netwerkapparatuur over de hele wereld om op opportunistische wijze meerdere cruciale infrastructuursectornetwerken te hacken.

“De cyberactoren van het Russische FSB Center 16 gebruiken voornamelijk scannen om slecht geconfigureerde netwerkapparaten, voornamelijk routers, te identificeren voor exploitatie”, aldus het agentschap. “De actoren scannen naar internet-IP-bereiken met actieve Simple Network Management Protocol (SNMP)-agents die algemene of standaard community-strings accepteren voor authenticatie.”

Deze scans, die via proxy’s worden uitgevoerd, bestaan ​​uit SNMP Set-Requests vanaf een vervalst IP-adres met Object Identifiers (OID’s) die de SNMP-agent op slecht geconfigureerde netwerkapparaten de opdracht geven om de configuratie naar een bestand te kopiëren en deze over te dragen naar een door de aanvaller bestuurde Virtual Private Server (VPS) of een gecompromitteerde FTP-server.

De activiteit omvat ook het misbruiken van veelvoorkomende kwetsbaarheden en blootstellingen (CVE’s) in Cisco-apparaten, zoals CVE-2018-0171 en CVE-2008-4128, als een manier om slecht geconfigureerde netwerkapparatuur te ontdekken en te exploiteren. De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft sindsdien CVE-2008-4128 toegevoegd aan zijn Known Exploited Vulnerabilities (KEV)-catalogus, waardoor federale instanties de oplossingen vóór 16 juli 2026 moeten toepassen.

Thijs Van der Does