Регулирование

США впервые ввели санкции против VPN-сервиса. Замешаны криптовымогатели

Американские власти меняют стратегию борьбы с киберпрестпуниками, направляя удары на инфраструктурные узлы. GetBlock AML Research обозревает первые санкции США против VPN-сервиса.

Главное

  • 13 июля 2026 года Управление по контролю за иностранными активами Министерства финансов США (OFAC) ввело санкции против трех участников, которые, по версии американских властей, способствовали проведению атак с использованием программ-вымогателей на территории США. Под ограничения попали сервис FirstVPN Service (1VPNS), предоставлявший VPN-инфраструктуру для анонимизации деятельности преступных группировок, его администратор Дмитрий Рашевский, а также гражданин Беларуси Евгений Владимирович Силаев, распространявший так называемые cryptors — специальные инструменты, позволяющие маскировать вредоносное программное обеспечение таким образом, чтобы системы защиты не могли его обнаружить.
  • На этот раз санкции были направлены не против конкретной группировки, использующей программы-вымогатели, а против инфраструктуры, обеспечивающей проведение подобных атак. VPN-сервисы и cryptors помогают злоумышленникам скрывать источник атак и обходить средства защиты, и теперь OFAC рассматривает поставщиков подобных услуг как самостоятельные объекты санкций.
  • Анализ блокчейн-транзакций показывает, что криптовалютные адреса FirstVPN уже были идентифицированы, а сами операторы программ-вымогателей напрямую оплачивали услуги сервиса. Так, группировка Anubis перевела FirstVPN в общей сложности $715 в декабре 2025 года и марте 2026 года. Хотя суммы выглядят небольшими, они являются прямым подтверждением того, что преступные группы использовали сервис в качестве элемента своей технической инфраструктуры.
  • Введение санкций было скоординировано с Министерством иностранных дел Великобритании (FCDO), которое в тот же день также ввело ограничения против ряда киберпреступников и лиц, оказывавших им содействие. Эти меры стали продолжением операции европейских правоохранительных органов, которые при поддержке Бостонского подразделения ФБР в мае 2026 года вывели из строя веб-сайт и инфраструктуру FirstVPN.
  • Специалистам по комплаенсу рекомендуется незамедлительно включить новые криптовалютные адреса в процедуры санкционного мониторинга и уделять внимание не только кошелькам самих операторов программ-вымогателей, но и сервисам, обеспечивающим анонимность и сокрытие следов деятельности, которые получают оплату в криптовалюте сразу в нескольких блокчейн-сетях.

Инфраструктура для незаконных операций

13 июля 2026 года OFAC ввело санкции против двух физических лиц и одной организации, которые, по мнению ведомства, обеспечивали техническую поддержку операторов программ-вымогателей и других киберпреступников.

Под санкции попали сервис FirstVPN Service (FirstVPN, 1VPNS) — поставщик услуг виртуальной частной сети (VPN), основными клиентами которого являлись группировки, использующие программы-вымогатели, его администратор Дмитрий Рашевский, а также Евгений Владимирович Силаев, предоставлявший услуги по сокрытию вредоносного программного обеспечения с помощью специальных инструментов, известных как cryptors.

По данным OFAC, группировки, использовавшие эти сервисы, нанесли ущерб американским компаниям и объектам критически важной инфраструктуры на миллиарды долларов.

В отличие от большинства подобных санкционных решений, нынешние меры направлены не против самих операторов программ-вымогателей, а против сервисов, которыми они пользовались для проведения атак. Речь идет о VPN-платформе, обеспечивающей анонимность, и сервисе, позволяющем скрывать вредоносное программное обеспечение от систем информационной безопасности.

Основанием для введения санкций стали положения Исполнительного указа №14390, подписанного в марте 2026 года и предусматривающего усиление защиты финансовой и цифровой инфраструктуры США от иностранных киберугроз, а также Исполнительного указа №13694 с внесенными позднее изменениями, который остается основным нормативным механизмом применения американских санкций в сфере кибербезопасности.

OFAC наносит удар по инфраструктуре, стоящей за атаками программ-вымогателей

OFAC включило в санкционный список FirstVPN и Дмитрия Рашевского за предоставление материальной и технологической поддержки деятельности, связанной с кибератаками, включая атаки с использованием программ-вымогателей против граждан США и объектов критической инфраструктуры.

Евгений Силаев был включен в санкционный список по аналогичным основаниям — за предоставление сервисов шифрования и маскировки вредоносного программного обеспечения операторам программ-вымогателей, атакующим организации в США и странах-союзниках.

Эти меры были согласованы с Министерством иностранных дел Великобритании (FCDO), которое в тот же день ввело санкции против других киберпреступников и лиц, обеспечивавших их деятельность.

Кроме того, решение последовало спустя два месяца после совместной операции европейских правоохранительных органов, в ходе которой в мае 2026 года были выведены из строя веб-сайт и техническая инфраструктура FirstVPN. Поддержку операции оказало Бостонское подразделение Федерального бюро расследований США.

После проведения операции ФБР также выпустило специальное предупреждение для организаций, в котором были подробно описаны методы работы FirstVPN, чтобы помочь компаниям своевременно выявлять и предотвращать атаки программ-вымогателей.

Детальный обзор новых целей OFAC

Власти США выявили обширную инфраструктурную сеть, которая оказывала поддержку киберпреступникам. Рассмотрим детальнее каждого участника сети.

FirstVPN Service (FirstVPN, 1VPNS)

FirstVPN — это VPN-сервис, основными клиентами которого, по данным OFAC, являлись операторы программ-вымогателей и другие киберпреступники.

Сами по себе VPN-сервисы широко используются в законных целях — для защиты конфиденциальности, безопасного подключения к интернету и сохранения приватности пользователей. Однако деятельность FirstVPN, по версии американских властей, была изначально ориентирована на совершенно иную аудиторию.

Начиная с 2014 года сервис активно рекламировался на специализированных форумах для киберпреступников, включая Exploit и XSS. Одним из главных преимуществ FirstVPN называлось отсутствие журналов активности пользователей (логов), позволяющих установить личность клиента или отследить его действия. Кроме того, администрация сервиса открыто заявляла, что не сотрудничает с правоохранительными органами при расследовании преступлений, совершенных с использованием арендованных серверов.

Помимо VPN-инфраструктуры операторы FirstVPN также поддерживали одноранговый сервис обмена сообщениями Jabber. По информации OFAC, многочисленные группировки, использующие программы-вымогатели, приобретали инфраструктуру FirstVPN для сокрытия источника своих атак, распространения вредоносного программного обеспечения и управления похищенными у жертв данными.

Среди пострадавших от атак, при которых использовалась инфраструктура FirstVPN, названы американские коммерческие компании, организации финансового сектора, медицинские учреждения и органы местного самоуправления.

Для обеспечения бесперебойной работы сервиса Дмитрий Рашевский, как утверждают американские власти, использовал поддельные личности — «Maksim Sorin» и «Roman Chabanenko». Под этими именами приобреталась серверная инфраструктура у различных провайдеров, которые в противном случае могли отказаться сотрудничать с FirstVPN из-за многочисленных жалоб на противоправную деятельность, связанную с его серверами.

В рамках санкций OFAC также включило в список пять криптовалютных адресов, работающих в сетях Bitcoin, Ethereum, Litecoin и Tron. По данным анализа блокчейн-транзакций, все эти адреса, предположительно, связаны с криптовалютной биржей высокого риска Cryptomus.

Адреса, принадлежащие FirstVPN
bc1qdnr88f4d2yqunnc4mjsguezm6g3mlwe44z5dw8
bc1qr4ankqmvmrhce3ydvzse86dfx5s3zhehfr9tg9
0x2711d73d559f62f4f855ee21f38378f528e07985
ltc1qr8ntsedq8tv0svmxqhzvdcdl5k7kntdmnhwep7
TUuaxBAWfA5nmsqNfycxYrzEvz4a5GJMGY

Дмитрий Рашевский

Дмитрий Рашевский являлся администратором сервиса FirstVPN и был включен в санкционный список одновременно с самой платформой за предоставление технологической поддержки лицам, осуществлявшим противоправную деятельность.

OFAC опубликовало 15 криптовалютных адресов, которые ведомство связывает с Рашевским. Они охватывают сразу несколько блокчейн-сетей и криптовалют, включая Bitcoin, Ethereum, Tron, Litecoin, Dogecoin, Dash, Zcash и Solana.

Адреса Рашевского, попавшие в список OFAC SDN
1MTndG4K51RRMvkzyvguaHnQpiMLnxFGzM
1DfyWkiXVVqWfcSduj23qTDis9kb2qvRDa
0x1d19b52b54e7ef5ea1a4b40b616165e798eac9f8
0x2C7DcD774b33e10367F7d6385479e04F97d179dc
LcP1DumXkNJbBtSYD3XxAfsJ2nZR5hLdpM
LbPAqHvemZBv3pvAqiAtDnZ3U1t6EziaL1
t1LHesgnkapziGQCJtrfZWYXhyjfTVo1dvh
XcuGqRfrR85zyDrzVr1gSL5RNjwwpbu2KS
XowUeMFa1FkEUnAHL78E5oqpezMfSB6xP1
TTLRNgLpz5H5tLPuNU4FViUs7zmmAtyvzW
TBFW9gF4oDX5cG44gS7AoxQeujScmm3z6h
DHzAVdEoL3PjGeLWNdEJwwMA1CeQ9J9Cpo
DTqpKQ96rqkTvHcohQQd9BksmgRjasHgGo
Fc1EwQUZyTEagaDvA1utHXCcZNyG1x2PLt2DfNu1cJdH
FuCC7GoYwt5TsNTjWL23Xx9UKCvC18chjMEFPL3vJDCC

Евгений Владимирович Силаев

Гражданин Беларуси Евгений Владимирович Силаев также был включен в санкционный список одновременно с FirstVPN и Дмитрием Рашевским. По данным OFAC, Силаев занимался распространением так называемых cryptors — специальных программ, предназначенных для маскировки вредоносного программного обеспечения.

Такие инструменты позволяют изменить внешний вид вредоносного файла таким образом, чтобы антивирусные программы и другие системы информационной безопасности воспринимали его как безопасный и не блокировали при запуске.

По версии американских властей, Силаев предоставлял подобные сервисы операторам программ-вымогателей, которые атаковали организации в США и странах, являющихся союзниками Вашингтона.

В отличие от санкций против FirstVPN и Рашевского, в отношении Силаева OFAC не опубликовало ни одного криптовалютного адреса. Тем не менее в совокупности оба санкционных решения демонстрируют новый подход американских властей. Под ограничения попадают сразу обе составляющие инфраструктуры, необходимой для проведения кибератак: сервисы, обеспечивающие анонимность злоумышленников в сети, и инструменты, позволяющие скрывать вредоносное программное обеспечение от средств защиты.

Следы платежей от операторов программ-вымогателей к FirstVPN

Анализ блокчейн-транзакций позволил проследить финансовые связи между сервисом FirstVPN и рядом известных группировок, использующих программы-вымогатели. Полученные данные показывают, что злоумышленники напрямую оплачивали услуги сервиса в криптовалюте.

Так, группировка Anubis перечислила FirstVPN в общей сложности $715 двумя отдельными платежами — 13 декабря 2025 года, а затем 15–16 марта 2026 года. Позднее, 11 января 2026 года, группировка Qilin Ransomware перевела сервису $120.

Еще один платеж был зафиксирован 8 февраля 2026 года, когда Sinobi Group отправила FirstVPN $58. Несмотря на то что суммы этих переводов невелики, это вполне соответствует стоимости подписки на подобные инфраструктурные сервисы.

Главный вывод заключается не в размере платежей, а в самом факте их существования. Анализ блокчейна показывает, что известные группировки, использующие программы-вымогатели, напрямую оплачивали услуги конкретного сервиса, обеспечивавшего их техническую инфраструктуру, и все эти платежи остаются публично зафиксированными в блокчейне.

Связь адресов FirstVPN с группировками криптовымогателей. Визуализация: TRM Labs

Это также демонстрирует еще одну особенность современной киберпреступности: инфраструктурные сервисы получают оплату через те же криптовалютные сети, которые сами преступники используют для получения выкупа от своих жертв. Благодаря прозрачности блокчейна такие финансовые связи могут быть обнаружены и прослежены.

След в блокчейне: как программы-вымогатели оплачивали услуги FirstVPN

Анализ данных блокчейна начался еще до публикации санкционного решения. Он показал, что операторы программ-вымогателей напрямую оплачивали услуги FirstVPN. Так, группировка Anubis перевела сервису в общей сложности $715 двумя платежами — 13 декабря 2025 года и 15–16 марта 2026 года.

11 января 2026 года группировка Qilin Ransomware отправила FirstVPN $120, а 8 февраля 2026 года группа Sinobi перечислила еще $58. Сами суммы невелики, однако именно так обычно оплачиваются подписки на инфраструктурные сервисы. Гораздо важнее другое: расследование наглядно показывает, что известные группировки-вымогатели переводили средства конкретному поставщику инфраструктуры, причем все эти платежи публично фиксируются в блокчейне и могут быть отслежены.

Это подтверждает, что сервисы, обеспечивающие работу киберпреступников, получают оплату через те же криптовалютные сети, которые используются для получения выкупа от жертв. А значит, эти финансовые потоки также можно анализировать и связывать с конкретными участниками преступной инфраструктуры.

Что это означает для специалистов по комплаенсу

Последние санкции демонстрируют важное изменение в подходе американских властей к борьбе с программами-вымогателями. Если раньше основное внимание уделялось самим преступным группировкам, то теперь под ограничения начинают попадать и компании, предоставляющие им необходимые сервисы для проведения атак.

Для специалистов по финансовому мониторингу это означает необходимость расширить круг объектов проверки. Помимо криптовалютных адресов, принадлежащих непосредственно вымогателям, следует уделять внимание инфраструктурным сервисам, которые помогают скрывать происхождение атак, маскировать вредоносное программное обеспечение или обеспечивать анонимность преступников.

Практически это означает, что организациям необходимо уже сейчас добавить в свои системы мониторинга новые криптовалютные адреса, включенные в санкционные списки, а также уделять повышенное внимание платежам в адрес сервисов анонимизации, VPN-провайдеров, поставщиков инструментов для сокрытия вредоносного ПО и других инфраструктурных сервисов, работающих сразу в нескольких блокчейн-сетях.

Новая санкционная политика показывает, что регуляторы рассматривают инфраструктуру киберпреступности как такую же важную цель, как и сами группировки-вымогатели. Для служб комплаенса это означает, что анализ цепочек транзакций должен охватывать не только конечных получателей средств, но и всю экосистему сервисов, обеспечивающих проведение кибератак.

Источник

Добавить комментарий

Кнопка «Наверх»
  • bitcoinBitcoin (BTC) $ 65,188.00
  • ethereumEthereum (ETH) $ 1,922.30
  • tetherTether (USDT) $ 0.999106
  • usd-coinUSDC (USDC) $ 0.999834
  • tronTRON (TRX) $ 0.327077
  • dogecoinDogecoin (DOGE) $ 0.074586
  • zcashZcash (ZEC) $ 579.54
  • leo-tokenLEO Token (LEO) $ 9.80
  • stellarStellar (XLM) $ 0.187878
  • chainlinkChainlink (LINK) $ 8.51
  • moneroMonero (XMR) $ 331.13
  • cardanoCardano (ADA) $ 0.165826
  • bitcoin-cashBitcoin Cash (BCH) $ 234.62
  • daiDai (DAI) $ 0.999685
  • litecoinLitecoin (LTC) $ 45.44
  • hedera-hashgraphHedera (HBAR) $ 0.067947
  • crypto-com-chainCronos (CRO) $ 0.055729
  • okbOKB (OKB) $ 82.09
  • ethereum-classicEthereum Classic (ETC) $ 7.11
  • kucoin-sharesKuCoin (KCS) $ 6.99
  • cosmosCosmos Hub (ATOM) $ 1.58
  • algorandAlgorand (ALGO) $ 0.085234
  • true-usdTrueUSD (TUSD) $ 0.998064
  • dashDash (DASH) $ 34.79
  • vechainVeChain (VET) $ 0.004841
  • tezosTezos (XTZ) $ 0.228833
  • decredDecred (DCR) $ 13.80
  • iotaIOTA (IOTA) $ 0.037381
  • neoNEO (NEO) $ 1.98
  • basic-attention-tokenBasic Attention (BAT) $ 0.081834
  • 0x0x Protocol (ZRX) $ 0.087927
  • qtumQtum (QTUM) $ 0.692436
  • ravencoinRavencoin (RVN) $ 0.003863
  • ontologyOntology (ONT) $ 0.045148
  • paxos-standardPax Dollar (USDP) $ 0.999631
  • iconICON (ICX) $ 0.024501
  • wavesWaves (WAVES) $ 0.257434
  • liskLisk (LSK) $ 0.087237
  • bitcoin-diamondBitcoin Diamond (BCD) $ 0.061182
  • huobi-tokenHuobi (HT) $ 0.078281
  • monacoinMonaCoin (MONA) $ 0.071230
  • bitcoin-goldBitcoin Gold (BTG) $ 0.291724
Закрыть
Закрыть