Zeker 25 ransomwaregroepen maakten gebruik van First VPN, de vpn-dienst die mede door de Nederlandse politie offline is gehaald. Dat meldt de FBI. De Amerikaanse opsporingsdienst heeft een groot aantal ip-adressen van First VPN gedeeld, zodat organisaties kunnen kijken of daar vanuit hun omgeving verbinding mee is gemaakt (pdf). First VPN was sinds 2014 actief en bood 32 exitnode-servers in 27 landen, aldus de FBI.

Bij de operatie werden tientallen servers van de vpn-dienst in beslag genomen. De Nederlandse politie liet gisteren weten dat het met het dataverkeer van gebruikers kon meekijken. Volgens Europol zijn alle gebruikers van de dienst geïdentificeerd. De FBI stelt dat zeker 25 ransomwaregroepen van First VPN gebruik hebben gemaakt voor verkenning en aanvallen. "First VPN Service ip-adressen zijn gebruikt voor scanning-activiteiten, botnets, denial of service-aanvallen, scams en hacking", zo laat de opsporingsdienst weten.

In een document doet de FBI verschillende aanbevelingen om de risico's van 'anonymization services' zoals First VPN tegen te gaan. Zo wordt aangeraden om 'vpn-aware access controls' te implementeren, SSH en andere remote management interfaces alleen tot vertrouwde ip-reeksen te beperken, netwerkverkeer te inspecteren, least privilege en netwerksegmentatie toe te passen en geregeld ingestelde firewall rules te controleren en indien nodig aan te passen.