Operation Saffron contro First VPN: maxi-blitz UE-USA smantella la VPN dei ransomware, centinaia di utenti identificati

Le autorità di Europa e Nord America hanno annunciato lo smantellamento di un servizio VPN criminale noto come First VPN, utilizzato da attori malevoli per nascondere l’origine di attacchi ransomware, furti di dati, attività di scanning e attacchi denial of service. L’operazione, denominata Operation Saffron, rappresenta un colpo importante alle infrastrutture di anonimizzazione impiegate nel cybercrime, perché colpisce direttamente uno strumento pensato per rendere più difficile il lavoro delle forze dell’ordine.

L’intervento è stato coordinato da Francia e Paesi Bassi, con il supporto di numerosi Paesi coinvolti nelle indagini avviate già da dicembre 2021. Tra le azioni eseguite in modo simultaneo tra il 19 e il 20 maggio figurano l’interrogatorio dell’amministratore del servizio, una perquisizione in Ucraina, il sequestro di 33 server e la confisca di infrastrutture usate per facilitare attività criminali su scala globale. Sono stati inoltre indicati diversi domini collegati al servizio, inclusi domini onion sulla rete Tor, a conferma di una presenza strutturata anche su canali difficili da monitorare.

Secondo le informazioni condivise dalle agenzie coinvolte, First VPN si promuoveva puntando su anonimato e assenza di collaborazione con autorità giudiziarie, sostenendo di non conservare log e di non essere soggetto a giurisdizioni. Questo tipo di messaggi è tipico dei servizi di anonimizzazione per criminali, spesso pubblicizzati su forum di cybercrime in lingua russa come strumenti per eludere investigazioni e attribuzione tecnica.

Un elemento rilevante è l’avviso agli utenti: le autorità hanno comunicato che gli utilizzatori del servizio sono stati informati della chiusura e che le loro identità sarebbero ora note agli investigatori. Inoltre, è stato riportato che i dati relativi a centinaia di utenti sono stati condivisi a supporto dell’indagine, aumentando il rischio operativo per chi si affida a VPN criminali.

Il servizio risultava attivo da circa il 2014 e offriva decine di exit node in molti Paesi, inclusi alcuni negli Stati Uniti. Veniva venduto con abbonamenti da un giorno fino a un anno, con prezzi variabili e pagamenti accettati tramite criptovalute e sistemi di pagamento online. Dal punto di vista tecnico, First VPN supportava più protocolli e configurazioni, includendo opzioni pensate per camuffare il traffico VPN come normale traffico HTTPS, tecnica utile per superare controlli e filtri di rete. Almeno 25 gruppi ransomware avrebbero sfruttato questa infrastruttura per ricognizione e intrusioni.