Las autoridades de Europa y América del Norte han anunciado el retiro de los servicios criminales de redes privadas virtuales (VPN) utilizados por los delincuentes para ocultar el origen de los ataques de ransomware, robo de datos, escaneo y ataques de denegación de servicio.
La primera interrupción del servicio VPN fue liderada por Francia y los Países Bajos, y varios otros países apoyaron la investigación desde diciembre de 2021, incluidos Luxemburgo, Rumania, Suiza, Ucrania, el Reino Unido, Canadá, Alemania, Estados Unidos, España, Suecia, Dinamarca, Estonia, Letonia, Lituania, Polonia y Portugal.
Según Europol, las primeras VPN ofrecían servicios diseñados específicamente para uso delictivo, permitiendo pagos anónimos y una infraestructura oculta que permitía a los clientes pagar ocultar sus identidades al llevar a cabo ataques de ransomware, fraude a gran escala y robo de datos. Fue promocionado como una herramienta para evadir la aplicación de la ley en foros de cibercrimen de habla rusa como Exploit(.)in y XSS(.)is.
La operación internacional se llevó a cabo del 19 al 20 de mayo, durante la cual las autoridades llevaron a cabo una serie de acciones paralelas, que incluyeron entrevistas con administradores de servicios, redadas en Ucrania, suspensión de 33 servidores y confiscación de infraestructura utilizada para apoyar operaciones de cibercrimen en todo el mundo.
Los nombres de los dominios confiscados son:
1vpns(.)com 1vpns(.)net 1vpns(.)org Dominios cebolla asociados que se ejecutan en la red Tor
«El sitio web de First VPN se promocionó enfatizando el anonimato y prometió a los usuarios que no cooperaría con ninguna autoridad policial, que no almacenaría datos y que sus servicios no estarían sujetos a ninguna jurisdicción», dijo Eurojust.
La Oficina Federal de Investigaciones (FBI) de EE. UU. anunció en un boletín coordinado que el servicio ha estado en funcionamiento desde aproximadamente 2014 y proporciona 32 servidores de nodos de salida en 27 países. Tres de los nodos de salida estaban en EE.UU.
2.223.66(.)103 5.181.234(.)59 92.38.148(.)58
Otros nodos de salida estaban en Australia, Austria, Bélgica, Canadá, Chipre, Finlandia, Francia, Alemania, Hong Kong, Italia, Letonia, Luxemburgo, Moldavia, Países Bajos, Panamá, Polonia, Rumania, Rusia, Serbia, Singapur, España, Suecia, Suiza, Turquía, Ucrania y el Reino Unido.
Se dice que no menos de 25 grupos de ransomware, incluido Avaddon Ransomware, utilizaron la infraestructura de First VPN para realizar reconocimiento e infiltración de la red. Los términos de suscripción varían de 1 día a 1 año. Según los planes de suscripción, cuesta entre 2 dólares por día y 483 dólares por año. Aceptamos pagos a través de Bitcoin, Perfect Money, Webmoney, EgoPay e InterKass.
«El primer servicio VPN ofrecía múltiples protocolos de conexión, incluidos OpenConnect, WireGuard, Outline y VLess TCP Reality, y múltiples opciones de cifrado, incluidas OpenVPN ECC, L2TP/IPSec y PPtP», dijo el FBI.
«También se brindó soporte técnico a los usuarios a través de un servidor Jabber autohospedado y un servicio de mensajería cifrada Telegram. Entre las opciones de protocolo VPN, los servicios First VPN ofrecieron ‘VLESS’ y ‘Reality’, que brindan la capacidad de disfrazar el tráfico de Internet VPN como tráfico HTTPS en puertos comúnmente utilizados para conectarse a sitios web».
Según una instantánea capturada en Internet Archive, First VPN ofrece «anonimato, estabilidad y seguridad» y dice que «no almacena registros que nos permitan a nosotros o a un tercero asociar direcciones IP con usuarios de nuestro servicio durante un período de tiempo específico».
«Aunque los únicos datos que almacenamos son el correo electrónico y el nombre de usuario, no es posible vincular la actividad de un usuario en Internet a un usuario específico de nuestros servicios», añadió la empresa.
Como forma de evitar responsabilidad, First VPN también señaló en sus preguntas frecuentes que prohíbe «estrictamente» el uso de sus servidores para actividades ilegales. «Esto facilitará la recepción de quejas sobre nuestros servidores, lo que puede resultar en la desactivación del servidor», se lee en las preguntas frecuentes.
Source link
