Europol ha annunciato lo smantellamento di First VPN, un servizio utilizzato da gruppi cybercriminali per nascondere attività legate a ransomware, furti di dati, frodi su larga scala e altri reati informatici gravi. L’operazione internazionale è stata guidata da Francia e Paesi Bassi, con il supporto di Europol ed Eurojust, e ha colpito una delle infrastrutture ritenute più presenti nell’ecosistema criminale online.
Secondo Europol, First VPN veniva promosso da anni nei forum cybercriminali in lingua russa come uno strumento pensato per restare fuori dalla portata delle forze dell’ordine. Il servizio offriva pagamenti anonimi, infrastruttura nascosta e funzionalità orientate a un uso criminale. Per gli investigatori, la piattaforma era ormai parte stabile delle attività dei gruppi che utilizzano servizi di anonimizzazione per coprire identità, server di comando e controllo, movimenti laterali e fasi operative degli attacchi.
First VPN e il ruolo delle VPN criminali negli attacchi ransomware
Una VPN è una tecnologia legittima, usata da aziende e privati per proteggere le connessioni, cifrare il traffico e accedere in modo sicuro a reti remote. Il caso First VPN riguarda però un contesto diverso: secondo le autorità europee, il servizio era stato costruito e promosso per offrire protezione operativa a soggetti coinvolti in attività cybercriminali.
Nel cybercrime moderno, strumenti di questo tipo servono a rendere più difficile l’attribuzione degli attacchi. Gli operatori ransomware e gli affiliati che vendono accessi iniziali possono usarli per mascherare l’indirizzo IP reale, separare i vari livelli dell’infrastruttura, ridurre la tracciabilità delle connessioni e complicare le richieste giudiziarie tra più Paesi.
Europol ha definito First VPN un servizio presente in quasi tutte le principali indagini cyber supportate dall’agenzia negli ultimi anni. Il dato mostra quanto le infrastrutture di anonimizzazione dedicate al crimine siano diventate un elemento operativo importante, accanto a malware, credenziali rubate, marketplace clandestini e servizi di hosting compiacenti.
L’operazione tra il 19 e il 20 maggio
L’azione coordinata si è svolta tra il 19 e il 20 maggio 2026 e ha colpito l’infrastruttura tecnica legata a First VPN. Le autorità hanno effettuato attività investigative in Ucraina, dove l’amministratore del servizio è stato interrogato ed è stata eseguita una perquisizione domiciliare.
Nel corso dell’operazione sono stati smantellati 33 server collegati al servizio criminale. Sono stati inoltre sequestrati o disattivati i domini 1vpns.com, 1vpns.net, 1vpns.org e i relativi domini onion associati. Gli utenti del servizio sono stati informati della chiusura e, secondo Europol, anche del fatto che la loro identità è stata individuata.
Il passaggio è rilevante perché colpisce una convinzione diffusa negli ambienti criminali: l’idea che l’uso di servizi di anonimizzazione specializzati possa garantire impunità tecnica e giuridica. La dichiarazione di Edvardas Šileris, responsabile dell’European Cybercrime Centre di Europol, va proprio in questa direzione: la rimozione di First VPN elimina uno strato di protezione utilizzato dai criminali per operare, comunicare ed eludere le indagini.
Migliaia di utenti collegati al cybercrime
L’indagine su First VPN era partita nel dicembre 2021. Gli investigatori, con il supporto dell’European Cybercrime Centre di Europol, hanno ottenuto accesso al servizio, al database degli utenti e alle connessioni VPN usate da cybercriminali per nascondere le proprie attività.
Le informazioni raccolte hanno permesso di individuare migliaia di utenti collegati all’ecosistema criminale. I dati acquisiti hanno generato piste investigative su ransomware, frodi e altri reati informatici gravi a livello internazionale. All’operazione ha contribuito anche Bitdefender, partner di cybersecurity di Europol.
Il valore dell’intervento non si limita quindi alla chiusura dell’infrastruttura. La parte più importante, sul piano investigativo, riguarda il patrimonio di informazioni ottenuto: connessioni, utenti, possibili collegamenti tra servizi criminali, campagne ransomware e frodi transnazionali.
Il coordinamento tra Europol, Eurojust e 16 Paesi
La complessità dell’operazione ha richiesto un coordinamento giudiziario e investigativo su più livelli. Nel novembre 2023 è stato istituito un joint investigation team con il supporto di Eurojust, per permettere alle autorità francesi e olandesi di scambiare prove, informazioni e definire una strategia comune.
Eurojust ha ospitato 16 riunioni di coordinamento tra le autorità coinvolte. In parallelo, Europol ha creato una Operational Taskforce con investigatori di 16 Paesi, incaricati di analizzare i dati sequestrati e condividere informazioni operative con partner internazionali.
Anche la Joint Cybercrime Action Taskforce, ospitata da Europol, ha supportato le attività di coordinamento, collegamento e deconfliction tra le autorità nazionali. Questo tipo di struttura serve a evitare sovrapposizioni tra indagini diverse e a trasformare i dati sequestrati in elementi utili per procedimenti già aperti o nuove attività investigative.
I risultati operativi già ottenuti
Europol segnala tre risultati principali derivati dall’operazione. Sono stati diffusi 83 pacchetti di intelligence, sono state condivise a livello internazionale informazioni collegate a 506 utenti e sono avanzate 21 indagini supportate da Europol grazie ai dati ottenuti.
Il coinvolgimento internazionale è ampio. Alle attività operative hanno partecipato autorità di Francia, Paesi Bassi, Lussemburgo, Romania, Svizzera, Ucraina e Regno Unito. Altri Paesi hanno fornito supporto investigativo o hanno lavorato sui dati sequestrati, tra cui Canada, Germania, Stati Uniti, Spagna, Svezia, Danimarca, Estonia, Lettonia, Lituania, Polonia e Portogallo.
L’operazione rientra nel quadro di EMPACT, la piattaforma multidisciplinare europea contro le minacce criminali più gravi e organizzate. Nel campo cyber, questo approccio ha un peso crescente, perché ransomware, frodi digitali e furti di dati non seguono confini nazionali e si appoggiano spesso a infrastrutture distribuite in più giurisdizioni.
Perché lo smantellamento di First VPN è rilevante
La chiusura di First VPN conferma una tendenza già emersa in altre operazioni internazionali: le forze dell’ordine non puntano solo ai singoli gruppi ransomware, ma anche ai servizi abilitanti che rendono possibile il cybercrime su larga scala. VPN criminali, proxy residenziali, servizi bulletproof hosting, marketplace di credenziali e piattaforme di pagamento anonimo formano un’infrastruttura parallela, usata da attori diversi per ridurre il rischio operativo.
Colpire questi servizi può avere un effetto più ampio rispetto alla rimozione di un singolo gruppo. Quando una piattaforma di anonimizzazione cade, gli investigatori possono ottenere dati su utenti, connessioni, campagne e reti di collaborazione tra criminali. Da qui possono partire nuove indagini o rafforzarsi procedimenti già aperti.
Il caso First VPN mostra anche un punto importante per aziende e professionisti della sicurezza: l’infrastruttura usata dagli attaccanti è spesso composta da servizi apparentemente tecnici e neutri, ma progettati per proteggere attività illegali. Per questo le indagini cyber moderne richiedono competenze tecniche, cooperazione internazionale e capacità di analisi dei dati sequestrati.
La chiusura del servizio non elimina il problema delle infrastrutture criminali di anonimizzazione, ma sottrae ai gruppi ransomware e agli altri attori del cybercrime uno strumento utilizzato per anni come copertura operativa. Per Europol, il messaggio è diretto: anche i servizi venduti come garanzia di invisibilità possono diventare una fonte di prove.
