First VPN, ransomware i infrastruktura anonimowości

Europol poinformował 21 maja 2026 r. o rozbiciu First VPN, usługi używanej według organów ścigania do ukrywania ataków ransomware, kradzieży danych i innych poważnych przestępstw. Operacja kierowana przez Francję i Holandię, ze wsparciem Eurojustu, objęła 33 serwery, zamknięte domeny 1vpns i identyfikację tysięcy użytkowników powiązanych z cyberprzestępczością.

Europejskie organy ścigania opisały operację, która dobrze pokazuje, że współczesna cyberprzestępczość nie składa się wyłącznie z ludzi piszących złośliwy kod. Składa się również z usług, infrastruktury, paneli, pośredników i wygodnych narzędzi, dzięki którym atakujący mogą udawać, że nie zostawiają śladów. First VPN miał być właśnie takim narzędziem: prywatną drogą ucieczki dla ludzi, którzy nie chcieli być widoczni po ataku.

Według Europolu usługa była promowana na rosyjskojęzycznych forach cyberprzestępczych jako sposób pozostawania poza zasięgiem organów ścigania. Miała oferować anonimowe płatności, ukrytą infrastrukturę i rozwiązania projektowane specjalnie pod nielegalną aktywność. Europol wskazuje, że First VPN pojawiał się w niemal każdej większej sprawie cyberprzestępczej wspieranej przez agencję w ostatnich latach. To zdanie brzmi technicznie, ale jego sens jest prosty: nie chodziło o poboczne narzędzie, tylko o element zaplecza.

Sama operacja została przeprowadzona 19 i 20 maja 2026 r. przez organy francuskie i holenderskie, przy wsparciu Europolu i Eurojustu. Według komunikatu rozmontowano 33 serwery powiązane z usługą, zamknięto domeny 1vpns.com, 1vpns.net i 1vpns.org oraz powiązane domeny onion. Strona przejęcia Operation Saffron pokazuje również 27 krajów i listę infrastruktury IP identyfikowanej jako część systemu 1VPNS. Użytkownicy usługi mieli zostać poinformowani, że została ona zamknięta i że zostali zidentyfikowani.

Najważniejszy mechanizm nie polega jednak tylko na wyłączeniu serwerów. Według Europolu śledczy uzyskali dostęp do usługi, jej bazy użytkowników i połączeń VPN wykorzystywanych przez osoby próbujące ukrywać aktywność. Zebrane informacje miały ujawnić tysiące użytkowników powiązanych z ekosystemem cyberprzestępczym i wygenerować tropy operacyjne do spraw ransomware, oszustw, kradzieży danych oraz innych poważnych przestępstw. W praktyce wygląda to tak, jakby ktoś przez lata sprzedawał zasłony do nielegalnego warsztatu, a potem okazało się, że w tkaninie były wszyte znaczniki.

Według informacji o wsparciu Eurojustu sprawa została otwarta na wniosek władz francuskich w maju 2022 r., po tym jak usługę zauważono na znanych forach przestępczych. W listopadzie 2023 r. powstał wspólny zespół śledczy Francji i Holandii, a kolejne państwa dołączały przez europejskie nakazy dochodzeniowe i wnioski o pomoc prawną. To ważne, bo cyberprzestępczość żyje z granic: serwer w jednym kraju, administrator w drugim, ofiary w trzecim, pieniądze w czwartym. Bez wspólnej procedury całość przypomina pogoń za dymem w kilku pokojach naraz.

Europol podał, że w działaniach uczestniczyły lub wspierały je organy z wielu państw, w tym Francji, Holandii, Luksemburga, Rumunii, Szwajcarii, Ukrainy i Wielkiej Brytanii. W Ukrainie przeprowadzono przeszukanie i rozmowę z administratorem usługi. Po stronie analizy danych działała też grupa operacyjna Europolu z udziałem służb z kilkunastu państw, w tym Kanady, Danii, Estonii, Francji, Łotwy, Litwy, Holandii, Portugalii, Rumunii, Szwajcarii, Ukrainy, Wielkiej Brytanii, Stanów Zjednoczonych i innych partnerów.

Trzeba tu zachować rozróżnienie, bo bez niego łatwo wejść w fałszywy skrót. VPN jako technologia nie jest przestępstwem. Dla dziennikarzy, firm, aktywistów i zwykłych użytkowników może być narzędziem bezpieczeństwa. Problem zaczyna się wtedy, gdy usługa według organów ścigania jest budowana, reklamowana i sprzedawana jako schron dla przestępców. To różnica między zamkiem w drzwiach a magazynem kluczy do cudzych mieszkań.

Status sprawy jest operacyjny, nie sądowo zakończony. Europol mówi o rozbiciu infrastruktury, identyfikacji użytkowników i działaniach wobec administratora. Nie oznacza to automatycznie, że każda osoba korzystająca z usługi została skazana albo że każdy wątek dowodowy jest już zamknięty. Oznacza natomiast, że organy ścigania dostały dużą paczkę danych i teraz mogą używać jej w sprawach prowadzonych w wielu jurysdykcjach.

Międzynarodowa stawka jest wysoka. Ransomware nie zatrzymuje się na granicy, a ataki na firmy, szpitale, urzędy i infrastrukturę krytyczną często zaczynają się od banalnego pytania: jak ukryć drogę wejścia i wyjścia. First VPN miał według Europolu odpowiadać właśnie na tę potrzebę. Jeśli ten element znika, nie kończy to cyberprzestępczości, ale wyrywa jedną z desek z podłogi, po której wielu sprawców chodziło zbyt pewnym krokiem.

Puenta jest prosta. W cyberświecie czasem najbardziej kompromitujący nie jest sam napad, tylko sklep z narzędziami stojący obok i obiecujący: spokojnie, nikt nie zapamięta twarzy klienta. Tym razem, według Europolu, sklep został zamknięty, serwery wyniesione, a lista klientów przestała być wyłącznie ich tajemnicą.