EUA aplicam sanções contra a First VPN Service e vendedor de “cryptors” por apoio a ataques de ransomware
- Cyber Security Brazil
- há 5 minutos
- 7 min de leitura

O Departamento do Tesouro dos Estados Unidos anunciou sanções contra duas pessoas e um serviço de VPN acusados de fornecer infraestrutura e ferramentas para grupos de ransomware e outros cibercriminosos. As medidas foram impostas pelo Escritório de Controle de Ativos Estrangeiros, o OFAC, e atingem o First VPN Service, também conhecido como 1VPNS, seu administrador ucraniano e um cidadão bielorrusso envolvido na venda de programas usados para ocultar malware.
Segundo o governo norte-americano, os serviços oferecidos pelos sancionados ajudaram invasores a esconder a origem de ataques, distribuir códigos maliciosos, administrar dados roubados e evitar a detecção por ferramentas de segurança. Entre as vítimas associadas à infraestrutura estavam empresas, instituições financeiras, hospitais e governos municipais dos Estados Unidos.
O First VPN Service foi acusado de oferecer seus servidores a operadores de ransomware e outros grupos envolvidos em roubo de dados, varreduras maliciosas e ataques de negação de serviço. A plataforma, ativa desde 2014, foi desmantelada em maio de 2026 durante uma operação conjunta conduzida por autoridades da Europa e da América do Norte.
Serviço prometia não registrar usuários nem cooperar com autoridades
O 1VPNS anunciava que não mantinha registros sobre a identidade ou as atividades de seus clientes. O serviço também afirmava que não colaborava com investigações sobre ações ilegais originadas nos servidores alugados aos usuários.
Esse posicionamento transformava a infraestrutura em uma opção atraente para grupos que precisavam ocultar a localização real de seus operadores. Serviços desse tipo podem funcionar como intermediários entre o invasor e o sistema atacado, dificultando o rastreamento do endereço IP original e a identificação da infraestrutura utilizada na campanha.
De acordo com o Tesouro dos Estados Unidos, diversos grupos de ransomware contrataram o First VPN Service para atacar empresas e instituições norte-americanas. Os servidores teriam sido utilizados para esconder a origem das operações, distribuir malware e administrar informações retiradas das redes comprometidas.
As autoridades afirmam que grupos que utilizaram serviços fornecidos pelas partes sancionadas causaram bilhões de dólares em prejuízos a empresas e operadores de infraestrutura crítica dos Estados Unidos.
Administrador utilizava identidades falsas
As sanções também atingem Dmytro Rashevskyi, ucraniano de 45 anos identificado como administrador do First VPN Service.
Segundo o Tesouro, Rashevskyi utilizou identidades falsas, incluindo os nomes “Maksim Sorin” e “Roman Chabanenko”, para adquirir infraestrutura de empresas que poderiam se recusar a negociar diretamente com ele.
A estratégia teria sido adotada após provedores de internet receberem reclamações relacionadas a atividades ilegais originadas nos servidores do 1VPNS. O uso de identidades alternativas permitia continuar contratando servidores, endereços IP e outros recursos mesmo depois que a reputação da infraestrutura havia sido associada a abusos.
Esse modelo é recorrente em redes utilizadas pelo cibercrime. Operadores podem registrar servidores em nome de terceiros, usar empresas de fachada ou alternar rapidamente entre provedores para reduzir o risco de bloqueio e manter suas operações disponíveis.
Vendedor de “cryptors” também é sancionado
O OFAC também sancionou Yegeniy Vladimirovich Silayev, cidadão da Bielorrússia acusado de comercializar “cryptors” para operadores de ransomware e distribuidores de outros tipos de malware.
Cryptors são ferramentas desenvolvidas para modificar, empacotar ou ofuscar códigos maliciosos. O objetivo é fazer com que o malware pareça um programa legítimo ou desconhecido, reduzindo a possibilidade de identificação por antivírus, EDRs e outras tecnologias de proteção.
Esses serviços podem alterar a estrutura do arquivo, criptografar partes do código, modificar assinaturas ou utilizar técnicas de ofuscação. Em alguns casos, os vendedores testam o malware contra diferentes ferramentas de segurança e entregam uma versão preparada para evitar a detecção naquele momento.
A utilização de cryptors não elimina necessariamente todos os indicadores maliciosos, mas pode atrasar a identificação e permitir que o código seja executado antes que mecanismos de defesa reconheçam seu comportamento.
Sanções bloqueiam ativos e restringem transações
A designação do OFAC geralmente implica o bloqueio de bens e interesses mantidos nos Estados Unidos ou sob o controle de pessoas norte-americanas. Empresas e cidadãos dos Estados Unidos também ficam impedidos de realizar determinadas transações com as pessoas e entidades sancionadas.
O objetivo é reduzir a capacidade dos envolvidos de contratar infraestrutura, receber pagamentos, movimentar recursos e utilizar serviços financeiros ou tecnológicos submetidos à jurisdição norte-americana.
As medidas contra o 1VPNS fazem parte de uma estratégia mais ampla para pressionar o ecossistema que sustenta operações de ransomware. Além dos grupos que executam diretamente as invasões, esse mercado inclui desenvolvedores de malware, operadores de botnets, serviços de hospedagem, negociadores, lavadores de dinheiro, corretores de acesso inicial e fornecedores de ferramentas de evasão.
Reino Unido e União Europeia sancionam redes ligadas à Rússia
O anúncio norte-americano ocorreu no mesmo período em que o Reino Unido e a União Europeia impuseram sanções contra redes russas acusadas de conduzir operações cibernéticas e híbridas contra países europeus.
As medidas atingem 24 pessoas e entidades envolvidas em campanhas destrutivas, atividades de sabotagem e redes de intermediários associadas aos serviços de inteligência da Rússia.
Entre os sancionados estão integrantes da alta liderança da Diretoria Principal de Inteligência da Rússia, a GRU: Vyacheslav Stafeyev, Ivan Senin e Ivan Kasyanenko. Eles foram acusados de participar da direção de operações cibernéticas e híbridas conduzidas pelo órgão militar.
As sanções também citam o Centro 16 do Serviço Federal de Segurança da Rússia, o FSB, atribuído a operações de sabotagem contra a rede de energia da Polônia no final de 2025.
Segundo o governo britânico, a divisão cibernética da Unidade 29155 da GRU trabalhou com cibercriminosos e com a empresa IMPULS para recrutar hackers e especialistas em tecnologia em universidades e academias russas.
A Unidade 29155 tem sido associada a ações de sabotagem, espionagem e operações de influência. O uso de empresas privadas, intermediários e grupos criminosos permite que autoridades russas ampliem sua capacidade operacional e dificultem a atribuição direta das campanhas.
Operadores do Lumma Stealer entram na lista
As medidas britânicas e europeias também atingem pessoas envolvidas na operação do Lumma Stealer, malware especializado no roubo de informações armazenadas em dispositivos comprometidos.
Esse tipo de infostealer procura dados como credenciais salvas em navegadores, cookies de sessão, informações de carteiras de criptomoedas, arquivos, tokens de autenticação e detalhes de aplicativos instalados.
As autoridades afirmam que credenciais roubadas pelo Lumma Stealer foram utilizadas pela Rússia em operações de espionagem cibernética contra alvos internacionais, em apoio aos objetivos estratégicos do Kremlin.
O malware também é utilizado por outros criminosos para invadir contas, comprometer serviços corporativos, fraudar transações e vender acessos em fóruns clandestinos. A distribuição em escala transforma os dispositivos infectados em fontes contínuas de credenciais e informações utilizadas em novas etapas de ataque.
A União Europeia afirmou que cibercriminosos, grupos autodenominados hacktivistas e empresas privadas ligadas à Rússia participaram, permitiram ou facilitaram atividades maliciosas sob orientação, controle ou interesse do Estado russo.
Segundo o bloco, essas operações atingiram serviços públicos e infraestruturas críticas, provocando interrupções e perdas financeiras. As sanções procuram impor custos às pessoas e organizações associadas a essas campanhas e reforçar a responsabilização por ataques no ambiente digital.
FBI alerta para ataques russos contra roteadores
As medidas foram anunciadas em meio a um novo alerta do FBI sobre ataques conduzidos por agentes do Centro 16 do FSB contra dispositivos de rede vulneráveis ou configurados de forma insegura.
Segundo a agência, os invasores realizam varreduras na internet para localizar principalmente roteadores que possam ser explorados de forma oportunista. A atividade já atingiu redes de múltiplos setores de infraestrutura crítica em diferentes países.
Os operadores procuram faixas de endereços IP com agentes do Simple Network Management Protocol, o SNMP, expostos e configurados para aceitar community strings comuns ou padrão.
O SNMP é utilizado para monitorar e administrar roteadores, switches, servidores e outros dispositivos. Em versões ou configurações antigas, a autenticação pode depender de strings semelhantes a senhas compartilhadas. Quando valores previsíveis, como configurações padrão, permanecem ativos, um invasor pode consultar informações ou modificar parâmetros do equipamento.
Ataques utilizam SNMP para copiar configurações
As varreduras descritas pelo FBI são executadas por meio de proxies e incluem requisições SNMP Set enviadas com endereços IP falsificados.
Essas requisições contêm identificadores de objetos, ou OIDs, que instruem o agente SNMP do equipamento mal configurado a copiar sua configuração para um arquivo e transferi-la para um servidor virtual privado controlado pelo invasor ou para um servidor FTP previamente comprometido.
Arquivos de configuração de roteadores podem conter endereços internos, credenciais, chaves, parâmetros de VPN, regras de roteamento, informações sobre interfaces e detalhes sobre a arquitetura da rede.
Com esses dados, os invasores podem mapear o ambiente, identificar novos alvos, reutilizar credenciais e preparar acessos mais profundos à infraestrutura comprometida.
Campanha explora falhas antigas em equipamentos Cisco
Além de abusar de configurações inseguras do SNMP, os agentes ligados ao FSB utilizam vulnerabilidades conhecidas em dispositivos Cisco, incluindo a CVE-2018-0171 e a CVE-2008-4128.
A CVE-2018-0171 afeta o recurso Smart Install Client de determinados equipamentos Cisco IOS e Cisco IOS XE. A vulnerabilidade pode permitir execução remota de código ou causar a indisponibilidade do dispositivo quando o serviço vulnerável está exposto.
Em agosto de 2025, a Cisco alertou sobre a exploração ativa da falha e orientou os clientes a aplicar as correções necessárias.
A CVE-2008-4128 também afeta dispositivos de rede da Cisco e foi adicionada pela Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos, a CISA, ao catálogo Known Exploited Vulnerabilities.
A inclusão no catálogo indica que existem evidências de exploração em ataques. As agências federais norte-americanas devem aplicar as medidas corretivas até 16 de julho de 2026.
Grupo possui diferentes nomes na indústria
Os hackers envolvidos na campanha são monitorados por empresas e órgãos de segurança sob diferentes nomes, incluindo Berserk Bear, Crouching Yeti, Dragonfly, Energetic Bear, Ghost Blizzard e Static Tundra.
As denominações variam porque cada organização utiliza critérios próprios de inteligência de ameaças para agrupar infraestrutura, ferramentas, técnicas, alvos e atividades observadas.
Apesar das diferenças de nomenclatura, essas operações têm sido associadas ao FSB e a campanhas voltadas principalmente para redes governamentais, empresas de energia, telecomunicações e outros setores estratégicos.
A Agência de Segurança Nacional dos Estados Unidos, a NSA, afirmou que a atividade continua em andamento e já afetou redes norte-americanas e estrangeiras nos setores de base industrial de defesa, comunicações, energia, serviços financeiros, instalações governamentais e saúde.
Infraestrutura de apoio passa a ser alvo das autoridades
As sanções contra o First VPN Service e o vendedor de cryptors ampliam a pressão sobre fornecedores que não necessariamente executam o ataque final, mas oferecem recursos essenciais para sua realização.
VPNs resistentes a investigações, ferramentas de ofuscação, servidores adquiridos com identidades falsas e credenciais roubadas por infostealers podem ser combinados em diferentes fases de uma campanha.
Um grupo pode utilizar credenciais obtidas por malware para conquistar o acesso inicial, contratar uma VPN para esconder a origem da conexão, empregar um cryptor para evitar a detecção do ransomware e utilizar servidores intermediários para administrar os dados roubados.
Ao atingir esses fornecedores, as autoridades procuram aumentar o custo operacional do cibercrime e dificultar a reconstrução rápida da infraestrutura após operações de derrubada.
Ainda assim, organizações precisam reduzir a própria exposição. Entre as medidas prioritárias estão eliminar credenciais e community strings padrão, restringir o acesso ao SNMP, desativar serviços de administração desnecessários, corrigir vulnerabilidades antigas e monitorar conexões provenientes de proxies, VPNs e servidores recém-criados.