Las autoridades policiales de 10 países desmantelaron VPNLab.net, un proveedor de servicios VPN utilizado por operadores de ransomware y actores de malware.
La perturbadora acción conjunta fue coordinada por Europol y tuvo lugar el 17 de enero de 2022. Implicó acciones policiales simultáneas en Alemania, los Países Bajos, Canadá, la República Checa, Francia, Hungría, Letonia, Ucrania, los Estados Unidos y el Reino Unido.
Los agentes de la ley se incautaron de 15 servidores utilizados por el servicio VPNLab.net y derribaron su sitio principal, por lo que la plataforma ya no está disponible.
Un servicio VPN para delincuentes
Los ciberdelincuentes utilizan los servicios de VPN (red privada virtual) para ocultar su ubicación e identidad reales y ofuscar sus huellas en línea redirigiendo el tráfico de red a través de múltiples túneles de cifrado.
En comparación con los servicios VPN estándar para consumidores, las soluciones orientadas al uso ilícito son más lentas y engorrosas porque cuentan con múltiples capas de cifrado y rebote.
VPNLab.net era uno de los servicios de este tipo más antiguos y fiables, creado en 2008 y que ofrecía tecnología basada en OpenVPN y cifrado de 2048 bits por sólo 60 dólares al año.
Sus servidores estaban ubicados en varios países, ofreciendo una relativa proximidad a los actores maliciosos de todo el mundo, manteniendo así el rendimiento dentro de un nivel aceptable.
«Las fuerzas del orden se interesaron por el proveedor después de que múltiples investigaciones descubrieran que los delincuentes utilizaban el servicio VPNLab.net para facilitar actividades ilícitas como la distribución de malware», dijo Europol.
«Otros casos mostraron el uso del servicio en la creación de la infraestructura y las comunicaciones detrás de las campañas de ransomware, así como el despliegue real de ransomware».
Según detalla la policía ucraniana de cibercrimen en otro comunicado de prensa, este servicio en particular ha sido utilizado en al menos 150 ataques de ransomware.
Como resultado directo de estas acciones, VPNLab.net incurrió en daños financieros de al menos 60 millones de euros (68,3 millones de dólares).
Los operadores siguen libres, pero quizá no por mucho tiempo
Los propietarios y operadores de VPNLab.net aún no han sido identificados, acusados o arrestados. Sin embargo, las fuerzas del orden afirman tener ahora valiosas pruebas en ese frente, como resultado de la incautación de los servidores.
Además, los datos de los clientes almacenados en ellos también serán examinados, por lo que la policía probablemente identificará a más afiliados al ransomware.
En diciembre de 2020, Europol coordinó otra acción similar contra Safe-Inet e Insorg VPN, dos proveedores de servicios conocidos por favorecer la actividad cibercriminal.