Per anni è stata una delle infrastrutture meno visibili ma più preziose per il cybercrime internazionale, nonché un servizio abilitante progettato per offrire copertura tecnica e anonimato operativo a chi voleva colpire senza lasciare tracce. Ora First VPN, piattaforma pubblicizzata nei forum criminali russofoni come strumento affidabile per restare fuori dal radar delle forze dell’ordine, è stata smantellata in un’operazione congiunta guidata da Francia e Paesi Bassi con il supporto di Europol ed Eurojust.

First VPN funzionava come una sorta di strato di protezione per criminali digitali coinvolti in ransomware, furti di dati, frodi su larga scala e altre operazioni ad alto impatto. Togliere di mezzo un’infrastruttura di questo tipo significa aumentare l’attrito operativo per un numero elevatissimo di soggetti malevoli, riducendo la loro capacità di nascondere identità, traffico e server.

Secondo quanto emerso dalle autorità europee, First VPN si era radicata in profondità nell’ecosistema cybercriminale, fino a comparire in quasi tutte le principali indagini recenti supportate da Europol relative a servizi di supporto come hosting blindato, marketplace clandestini, strumenti di initial access e, appunto, reti VPN costruite per garantire anonimato e resilienza investigativa.

L’operazione si è svolta tra il 19 e il 20 maggio e ha avuto una dimensione fortemente coordinata. In Ucraina, è stato interrogato l’amministratore del servizio ed è stata effettuata una perquisizione domiciliare, mentre sul piano tecnico le forze dell’ordine hanno smantellato 33 server collegati all’infrastruttura criminale. Sono stati inoltre disattivati i domini associati al servizio, inclusi 1vpns.com, 1vpns.net e 1vpns.org, insieme ai corrispondenti domini onion.

Europol FirstVPN

C’è poi un aspetto particolarmente significativo sotto il profilo investigativo. Gli utenti della piattaforma sono stati informati non solo della chiusura del servizio, ma anche del fatto di essere stati identificati. Per anni, molti attori malevoli hanno ritenuto che servizi del genere costituissero una sorta di scudo affidabile contro l’azione giudiziaria internazionale, mentre il messaggio lanciato con questo takedown è che anche le componenti più “di servizio” dell’economia criminale digitale possono essere penetrate, mappate e disarticolate.

L’indagine, avviata nel dicembre 2021, ha permesso agli investigatori di accedere al servizio, ottenere il database utenti e ricostruire collegamenti VPN impiegati per occultare attività criminali. Da qui è emerso un patrimonio informativo rilevantissimo con migliaia di utenti riconducibili all’ecosistema cybercrime e piste investigative collegate a ransomware, truffe e altri reati gravi in diverse aree del mondo.

Anche la dimensione organizzativa dell’azione merita attenzione. Con il supporto di Eurojust, è stata costituita una joint investigation team già nel novembre 2023, così da consentire a Francia e Paesi Bassi di condividere prove, informazioni e strategia giudiziaria. Parallelamente, Europol ha attivato una Operational Taskforce che ha coinvolto investigatori di 16 Paesi per analizzare i dati sequestrati e coordinare la distribuzione dell’intelligence ai partner internazionali. A questo si è aggiunto il lavoro della Joint Cybercrime Action Taskforce, che ha supportato coordinamento e collegamento operativo con le autorità nazionali.

I risultati, almeno sul piano europeo, sono già rilevanti, con 83 pacchetti di intelligence diffusi, informazioni condivise a livello internazionale su 506 utenti e 21 indagini sostenute da Europol che hanno registrato progressi grazie ai dati ottenuti.

(Immagine in apertura: Shutterstock)