INSPECTING ARCHIVED INTELLIGENCE (OUTDATED VERSION).
Europol Seizes First VPN Used by Ransomware Gangs
| 2026-05-22 11:03 HIGH HIGHExecutive Summary AI-generated
Europol desmantela First VPN, un servicio de red privada virtual utilizado por grupos de ransomware para ocultar sus ciberataques. La operación, coordinada por fuerzas del orden de Francia y Países Bajos con apoyo de Europol, Eurojust y otras agencias internacionales, ha sido el resultado de una inteligencia recopilada que expuso a miles de usuarios vinculados al ecosistema criminal. El servicio fue desmantelado en 33 servidores críticos, incluidos dominios onion asociados, y su administrador fue detenido en Ucrania.
Technical Mitigations AI-generated
* Use of secure protocols: Ensure that all communication and data transfer between the user's device and First VPN use secure, encrypted protocols such as HTTPS or TLS.
* Regular security audits and penetration testing: Regularly perform security audits and penetration testing on the service to identify vulnerabilities and weaknesses, and ensure that any identified issues are addressed promptly.
* Implementing least privilege access control: Implement a least privilege access control model for users accessing First VPN, where each user has only the necessary permissions to perform their specific tasks, reducing the risk of unauthorized access or data breaches.
* Monitoring and logging: Continuously monitor and log all activity on the service, including login attempts, data transfers, and system calls, to detect any suspicious behavior or potential security incidents.
* Regular software updates and patches: Regularly update and patch the service's underlying infrastructure and applications to ensure that known vulnerabilities are addressed before they can be exploited by attackers.
AI Podcast (EN) detail_available
detail_listen_ai (EN)
Intelligence Metadata
Actors / Malware / CVEs / Campaigns
Operation PowerOFFOperation PowerOFFOperation SaffronOperation Saffron
AvaddonAvaddon
Target & Sectors
NORTH_AMERICA
NORTH_AMERICA
BENELUX
BENELUX
DACH
DACH
legallegal
Incident Timeline
between 19 and 20 May 2026
Threat actors used Europol's services to target and dismantle the infrastructure of a ransomware VPN.
December 2021
Europol-led operation targeted First VPN, seizing notice displayed on its official dark web onion site.
Click on any entity below to view its context and source!
attribution
First VPN’s
Seizure notice displayed on First VPN’s official dark web onion site following the Europol-led operation (Image credit: Europol)
Data of Thousands of First VPN Users Now with Authorities
The investigation itself began in December 2021, when authorities started working with Europol’s European Cybercrime Centre to gain access to the VPN service and examine its internal systems.
attribution
Data of Thousands of First VPN Users
Seizure notice displayed on First VPN’s official dark web onion site following the Europol-led operation (Image credit: Europol)
Data of Thousands of First VPN Users Now with Authorities
The investigation itself began in December 2021, when authorities started working with Europol’s European Cybercrime Centre to gain access to the VPN service and examine its internal systems.
attribution
Europol’s European Cybercrime Centre
Seizure notice displayed on First VPN’s official dark web onion site following the Europol-led operation (Image credit: Europol)
Data of Thousands of First VPN Users Now with Authorities
The investigation itself began in December 2021, when authorities started working with Europol’s European Cybercrime Centre to gain access to the VPN service and examine its internal systems.
January 2026
Threat actors used a First VPN to target Spain.
Click on any entity below to view its context and source!
target_region
Spain
In January 2026, the agency helped arrest 34 suspected members of the
Black Axe criminal network
in Spain.
organisation
the
Black Axe
In January 2026, the agency helped arrest 34 suspected members of the
Black Axe criminal network
in Spain.
data_breach
34 suspected members
In January 2026, the agency helped arrest 34 suspected members of the
Black Axe criminal network
in Spain.
March 2026
Europol seized LeakBase, a cybercrime forum used to trade stolen data and leaked credentials.
Click on any entity below to view its context and source!
organisation
LeakBase
A few months later, in March 2026,
Europol seized LeakBase
, a well-known cybercrime forum used to trade stolen data and leaked credentials.
April 2026
Threat actors used DDoS services to target ransomware groups using Europol's Operation PowerOFF.
Click on any entity below to view its context and source!
tactic
Ddos
Then in April 2026, Europol worked with international partners during Operation PowerOFF, an effort targeting DDoS-for-hire platforms.
organisation
Operation PowerOFF
Then in April 2026, Europol worked with international partners during Operation PowerOFF, an effort targeting DDoS-for-hire platforms.
2026/05/22
Europol desmantela First VPN, un servicio de red privada virtual utilizado por grupos de ransomware para ocultar sus ciberataques.
Click on any entity below to view its context and source!
organisation
Europol
Europol desmantela First VPN, el servicio usado por grupos de ransomware para ocultar sus ciberataques.
According to Europol, First VPN promoted itself on
Russian-speaking cybercrime forums
as a reliable way for criminals to stay anonymous online.
organisation
First VPN
Europol desmantela First VPN, el servicio usado por grupos de ransomware para ocultar sus ciberataques.
According to Europol, First VPN promoted itself on
Russian-speaking cybercrime forums
as a reliable way for criminals to stay anonymous online.
organisation
el servicio
Europol desmantela First VPN, el servicio usado por grupos de ransomware para ocultar sus ciberataques.
organisation
grupos de ransomware
Europol desmantela First VPN, el servicio usado por grupos de ransomware para ocultar sus ciberataques.
organisation
un
Las autoridades europeas han asestado un nuevo golpe a la infraestructura del cibercrimen con el desmantelamiento de
First VPN
, un servicio de red privada virtual utilizado durante años por delincuentes para ocultar su identidad mientras realizaban actividades como ataques de ransomware, fraudes, escaneos de redes, botnets, denegaciones de servicio y robos de datos.
organisation
nuevo
Las autoridades europeas han asestado un nuevo golpe a la infraestructura del cibercrimen con el desmantelamiento de
First VPN
, un servicio de red privada virtual utilizado durante años por delincuentes para ocultar su identidad mientras realizaban actividades como ataques de ransomware, fraudes, escaneos de redes, botnets, denegaciones de servicio y robos de datos.
organisation
el desmantelamiento de
First
Las autoridades europeas han asestado un nuevo golpe a la infraestructura del cibercrimen con el desmantelamiento de
First VPN
, un servicio de red privada virtual utilizado durante años por delincuentes para ocultar su identidad mientras realizaban actividades como ataques de ransomware, fraudes, escaneos de redes, botnets, denegaciones de servicio y robos de datos.
organisation
un servicio de red privada
Las autoridades europeas han asestado un nuevo golpe a la infraestructura del cibercrimen con el desmantelamiento de
First VPN
, un servicio de red privada virtual utilizado durante años por delincuentes para ocultar su identidad mientras realizaban actividades como ataques de ransomware, fraudes, escaneos de redes, botnets, denegaciones de servicio y robos de datos.
organisation
los operadores
Antes de lanzar un ransomware, los operadores suelen escanear redes, identificar sistemas vulnerables, probar credenciales y moverse lateralmente por
organisation
campañas de ransomware
Europol señaló que los delincuentes utilizaban First VPN para ocultar tanto sus identidades como su infraestructura mientras ejecutaban campañas de ransomware, fraudes a gran escala, robos de datos y otros delitos graves.
organisation
La inteligencia recopilada expuso
La inteligencia recopilada expuso a miles de usuarios vinculados al ecosistema criminal y generó nuevas pistas operativas relacionadas con ransomware, fraudes y otros delitos a escala internacional.
organisation
Europol Seizes
Europol Seizes First VPN Used by Ransomware Gangs, Arrests Administrator.
organisation
Ransomware Gangs
Europol Seizes First VPN Used by Ransomware Gangs, Arrests Administrator.
organisation
First VPN’s
Still, investigators gaining access to First VPN’s user database could create serious problems for people who used the platform to hide ransomware operations, fraud schemes, and other illegal activity.
organisation
La operación
La operación, bautizada como
Operation Saffron
, ha sido coordinada por fuerzas del orden de Francia y Países Bajos, con apoyo de Europol, Eurojust y otras agencias internacionales.
organisation
bautizada como
La operación, bautizada como
Operation Saffron
, ha sido coordinada por fuerzas del orden de Francia y Países Bajos, con apoyo de Europol, Eurojust y otras agencias internacionales.
organisation
coordinada
La operación, bautizada como
Operation Saffron
, ha sido coordinada por fuerzas del orden de Francia y Países Bajos, con apoyo de Europol, Eurojust y otras agencias internacionales.
organisation
de Europol
La operación, bautizada como
Operation Saffron
, ha sido coordinada por fuerzas del orden de Francia y Países Bajos, con apoyo de Europol, Eurojust y otras agencias internacionales.
organisation
Eurojust
La operación, bautizada como
Operation Saffron
, ha sido coordinada por fuerzas del orden de Francia y Países Bajos, con apoyo de Europol, Eurojust y otras agencias internacionales.
organisation
el apagado de la infraestructura
Inteligencia para nuevas investigaciones
Uno de los aspectos más relevantes de Operation Saffron no es solo el apagado de la infraestructura, sino el acceso previo de los investigadores a información interna del servicio.
organisation
apagaron
Durante la intervención, las autoridades
apagaron
33 servidores críticos
vinculados al proveedor y se incautaron de varios dominios utilizados por la plataforma, entre ellos
1vpns[.]com
,
1vpns[.]net
y
1vpns[.]org
, además de dominios onion asociados.
organisation
críticos
Durante la intervención, las autoridades
apagaron
33 servidores críticos
vinculados al proveedor y se incautaron de varios dominios utilizados por la plataforma, entre ellos
1vpns[.]com
,
1vpns[.]net
y
1vpns[.]org
, además de dominios onion asociados.
organisation
incautaron de varios
Durante la intervención, las autoridades
apagaron
33 servidores críticos
vinculados al proveedor y se incautaron de varios dominios utilizados por la plataforma, entre ellos
1vpns[.]com
,
1vpns[.]net
y
1vpns[.]org
, además de dominios onion asociados.
organisation
del servicio fue detenido
El presunto administrador del servicio fue detenido en Ucrania en el marco de una actuación coordinada.
organisation
el marco de una actuación
El presunto administrador del servicio fue detenido en Ucrania en el marco de una actuación coordinada.
organisation
como un proveedor de anonimato diseñado
Una VPN vendida como refugio para ciberdelincuentes
First VPN se presentaba como un proveedor de anonimato diseñado para quienes querían operar lejos del alcance de las autoridades.
organisation
problemas de jurisdicción
no cooperar con fuerzas policiales, no almacenar datos y evitar problemas de jurisdicción.
organisation
maliciosos que
Esa combinación lo convirtió en una herramienta atractiva para actores maliciosos que necesitaban ocultar el origen de sus conexiones.
organisation
el ecosistema
Este detalle es importante porque sitúa a First VPN dentro de una categoría muy concreta: no era simplemente una herramienta de privacidad mal utilizada por algunos criminales, sino un servicio presuntamente integrado en el ecosistema operativo del cibercrimen.
organisation
El uso de este
El uso de este tipo de servicios resulta especialmente útil para los atacantes en las primeras fases de una campaña.
organisation
resulta especialmente útil
El uso de este tipo de servicios resulta especialmente útil para los atacantes en las primeras fases de una campaña.
organisation
el origen
Si esas conexiones pasan por una VPN criminal, atribuir el origen
organisation
La operación demuestra lo contrario.
La operación demuestra lo contrario.
organisation
los equipos
Europol indicó que los equipos lograron acceder a la base de datos de usuarios, lo que permitió identificar conexiones VPN utilizadas por distintos ciberdelincuentes.
organisation
Según Europol
Según Europol, se compartieron
83 paquetes de inteligencia
desde el inicio de la operación, con información sobre
506 usuarios internacionales
.
organisation
campañas activas
También permite mapear relaciones entre actores, infraestructuras y campañas activas.
infrastructure
33 servers
Authorities in Ukraine interviewed the alleged administrator and carried out a house search while investigators seized 33 servers connected to the operation.
organisation
Good News
Good News in the Fight Against Cybercrime
Cybercriminals can easily move their infrastructure from one server to another or switch between VPN providers when a service gets exposed.
organisation
the Fight Against Cybercrime
Cybercriminals
Good News in the Fight Against Cybercrime
Cybercriminals can easily move their infrastructure from one server to another or switch between VPN providers when a service gets exposed.
data_breach
140,000 members
Investigators said the platform had more than 140,000 members before it was dismantled.
infrastructure
53 domains
Authorities arrested suspects, seized more than 53 domains, and sent
warning notices to roughly 75,000 users
linked to the services, warning them against taking part in cybercrime activity.
victims
75,000 users
Authorities arrested suspects, seized more than 53 domains, and sent
warning notices to roughly 75,000 users
linked to the services, warning them against taking part in cybercrime activity.
Tactical Metrics
Metrics
infrastructure
33
Servers
Click for context!
Authorities in Ukraine interviewed the alleged administrator and carried out a house search while investigators seized 33 servers connected to the operation.
Metrics
data_breach
34
Suspected Members
In January 2026, the agency helped arrest 34 suspected members of the
Black Axe criminal network
in Spain.
Metrics
data_breach
140,000
Members
Investigators said the platform had more than 140,000 members before it was dismantled.
Metrics
infrastructure
53
Domains
Authorities arrested suspects, seized more than 53 domains, and sent
warning notices to roughly 75,000 users
linked to the services, warning them against taking part in cybercrime activity.
Metrics
victims
75,000
Users
Authorities arrested suspects, seized more than 53 domains, and sent
warning notices to roughly 75,000 users
linked to the services, warning them against taking part in cybercrime activity.
Intelligence Sources
HackRead
2026-05-21
Bit Life Media
2026-05-22
Unpublish from Social Media?
Are you sure you want to delete this podcast video from all synchronized social networks (YouTube, Facebook, Threads)?
Important:
Due to Meta API restrictions, Instagram Reels cannot be deleted automatically via API by third-party apps.
View Profile to Delete Manually
View Profile to Delete Manually
Tactical Intelligence
Report Intelligence Issue
Podcast Options
Generate
Reset / Delete
Incident Version History
CURRENT VERSION
Last Updated: 2026-06-26T10:30
Comprehensive Tactical Telemetry
Highly Correlated Entities
42x
organisation
Identified Entity
Europol
entity
13x
target region
Target Country
Albania
country
9x
attribution
Attributing Entity
El FBI
authority
6x
timeline
Temporal Reference
2014
date
3x
tactic
Cyber Operation Type
Ransomware
tactic
2x
campaign
Campaign
Operation Saffron
operation
2x
source region
Origin Country
France
country
Contextual Telemetry
Context Block
13 METRICS
general metric
Al Menos
25
al menos
malware
Malware Payload
Avaddon
tool
general metric
Servidores
33
servidores
general metric
Países
27
países
general metric
Se Compartieron
83
se compartieron
general metric
Usuarios
506
usuarios
infrastructure
Servers
33
servers
general metric
Countries
16
countries
data breach
Suspected Members
34
suspected members
industry
Targeted Sector
Legal
sector
data breach
Members
140,000
members
infrastructure
Domains
53
domains
victims
Users
75,000
users
Click on any entity below to view its context in the main text!
Selective Unpublish
Selecciona las redes de las que quieres eliminar esta publicación. El sistema intentará borrar el post real de la API y limpiará la base de datos para que puedas volver a lanzarlo.
By navigating this website, you accept the use of strictly necessary technical cookies for session security and basic platform functionality. We do not use tracking or advertising cookies.
Read our Privacy Policy.