OFAC sanciona FirstVPN e operadores de ransomware

O Office of Foreign Assets Control sancionou a FirstVPN Service, também chamada de 1VPNS, e dois operadores ligados ao ecossistema de ransomware. A medida mira serviços de anonimização e ofuscação usados para esconder ataques cibernéticos.

O Office of Foreign Assets Control (OFAC), braço do Departamento do Tesouro dos Estados Unidos, anunciou em 13 de julho de 2026 sanções contra a FirstVPN Service, também chamada de 1VPNS. A lista também inclui Dmytro Rashevskyi e o cidadão bielorrusso Yevgeniy Vladimirovich Silayev. Segundo a medida, a empresa vendia desde 2014 infraestrutura de anonimização para criminosos cibernéticos.

Além disso, o serviço prometia não manter registros de atividade e não cooperar com autoridades. De acordo com o governo dos EUA, essa política ajudava operadores maliciosos a ocultar a origem das ações.

A acusação afirma que grupos de ransomware como Anubis, Qilin e Sinobi usaram a plataforma para mascarar ataques. Nesse sentido, a sanção amplia o foco tradicional sobre quadrilhas específicas. Assim, a OFAC passa a atingir também a infraestrutura que sustenta operações ilícitas.

Sanções ampliam o cerco à infraestrutura criminosa

A TRM Labs apontou que a decisão tem um diferencial relevante. Em vez de mirar apenas uma quadrilha, a OFAC atingiu prestadores de serviço usados em várias etapas do ciclo ofensivo. Com efeito, a FirstVPN teria fornecido a camada de anonimato na rede. Ao mesmo tempo, Yevgeniy Vladimirovich Silayev teria vendido um cryptor, software criado para disfarçar malware como se fosse um arquivo inofensivo.

Na prática, esse mecanismo ajuda códigos maliciosos a escapar de sistemas de segurança. Por conseguinte, ele amplia as chances de infecção. Dessa forma, as sanções cobrem dois pontos centrais da cadeia ofensiva: anonimização de rede e evasão em dispositivos finais.

A OFAC afirmou que a ação se baseou na Ordem Executiva 14390, publicada em março de 2026 para reforçar a proteção dos sistemas dos EUA contra o cibercrime estrangeiro. A medida também cita a Ordem Executiva 13694, que sustenta a autoridade permanente de sanções cibernéticas do país.

Ao mesmo tempo, o Foreign, Commonwealth & Development Office do Reino Unido coordenou sanções paralelas contra outros cibercriminosos e facilitadores. Ademais, a medida ocorre após pressão prévia das autoridades. Em maio de 2026, órgãos europeus derrubaram o site e parte da infraestrutura da FirstVPN. Em seguida, o escritório do Federal Bureau of Investigation (FBI) em Boston apoiou a operação e publicou um alerta com as táticas atribuídas ao serviço.

TRM Labs no X

Carteiras em várias redes entram na lista

A OFAC listou cinco endereços de criptomoedas ligados diretamente à FirstVPN. Eles aparecem distribuídos entre Bitcoin, Ethereum, Litecoin e Tron. Segundo a apuração citada, os cinco remetem à Cryptomus, corretora classificada pela OFAC como de alto risco.

No caso de Dmytro Rashevskyi, a listagem individual inclui 15 endereços. Eles aparecem em Bitcoin, Ethereum, Tron, Litecoin, Dogecoin, Dash, Zcash e Solana. Portanto, a distribuição em oito redes sugere diversificação considerável de ativos pelo operador associado à FirstVPN.

Silayev, por sua vez, entrou na sanção sem endereços públicos anexados. Ainda assim, a designação o enquadra como agente sancionável por fornecer ferramentas de ofuscação a operadores de ransomware que atingiram entidades dos Estados Unidos e de países aliados.

A OFAC também afirma que Rashevskyi usou identidades falsas, incluindo Maksim Sorin e Roman Chabanenko, para comprar infraestrutura de servidores. Como provedores já haviam sinalizado a FirstVPN por denúncias de abuso, esses nomes teriam ajudado a manter o serviço em funcionamento.

Dados on-chain reforçam conexões com ransomware

A TRM Labs informou ter rastreado pagamentos diretos de grupos de ransomware para a FirstVPN antes do anúncio das sanções. Embora os valores sejam modestos diante de resgates normalmente exigidos nesses ataques, eles ajudam a confirmar o uso da plataforma como parte da infraestrutura operacional.

Segundo a empresa, o grupo Anubis enviou um total de US$ 715 ao serviço entre 13 de dezembro de 2025 e 15 e 16 de março de 2026. Além disso, o Qilin Ransomware teria enviado US$ 120 em 11 de janeiro de 2026. Já o Sinobi Group teria feito um pagamento de US$ 58 em 8 de fevereiro de 2026.

Em outras palavras, mesmo repasses pequenos podem revelar vínculos importantes quando o objetivo é identificar fornecedores de serviços usados por extorsionistas. Afinal, operações ilegais costumam cobrar assinaturas baratas por ferramentas que sustentam ataques com potencial de retorno milionário.

Rastreamento em blockchain orienta compliance

Para investigadores, esses pagamentos mostram que a infraestrutura criminosa também deixa rastros verificáveis em blockchain. A TRM Labs acrescentou que facilitadores desse ecossistema recebem pelos mesmos trilhos financeiros usados por seus clientes para extorquir vítimas. Uma vez identificados os endereços corretos, essas movimentações podem ser rastreadas.

Por isso, equipes de compliance foram orientadas a verificar os novos endereços sancionados em seus históricos de transações. A ação da OFAC reuniu três frentes centrais. Em primeiro lugar, destacou o papel da FirstVPN como fornecedora de anonimização. Em segundo lugar, vinculou Yevgeniy Vladimirovich Silayev a ferramentas de disfarce de malware.

Por fim, a medida mapeou endereços em Bitcoin, Ethereum, Litecoin, Tron, Dogecoin, Dash, Zcash e Solana. Além disso, registrou pagamentos on-chain feitos por Anubis, Qilin e Sinobi entre o fim de 2025 e março de 2026.