O FBI de Boston, a Europol e as forcas de seguranca de oito paises desmantelaram a First VPN, um servico VPN a prova de balas que operava exclusivamente como infraestrutura para gangues de ransomware e criminosos informaticos. A operacao, executada nos dias 19 e 20 de maio de 2026, resultou na apreensao de 33 servidores em multiplas jurisdicoes e no envio de 83 pacotes de inteligencia a 16 paises abrangendo mais de 500 criminosos informaticos identificados. Para os utilizadores comuns de VPN, a questao e simples: deve preocupar-se? A resposta curta e nao - e as razoes revelam algo importante sobre como as forcas de seguranca abordam realmente as ferramentas de privacidade.
O que era a First VPN e a quem servia
A First VPN foi lancada em 2014 nos dominios 1vpns.com, 1vpns.net, 1vpns.org e num endereco Tor oculto. Nunca publicou publicidade em plataformas convencionais. Nao havia avaliacoes em blogs, nem listagens em sites de comparacao, nem codigos de cupao. Toda a operacao de marketing consistia em publicacoes em forunsm criminosos fechados, incluindo mercados em russo como o Exploit, onde credenciais de bases de dados roubadas e acessos a redes corporativas sao habitualmente vendidos.
O servico oferecia capacidades tecnicas concebidas especificamente para operacoes de ataque. Os utilizadores podiam encadear ate quatro servidores separados para ocultar o seu rasto digital. Suportava OpenConnect, WireGuard e um protocolo chamado VLESS TCP Reality - o ultimo dos quais permitia que o trafego VPN malicioso se disfarcase de pedidos HTTPS normais, permitindo aos atacantes atravessar as firewalls corporativas sem desencadear alertas de seguranca. O pagamento era aceite apenas em criptomoeda. O suporte era gerido atraves de um servidor Jabber anonimo e do Telegram.
De acordo com a Europol, o servico apareceu em quase todas as grandes investigacoes de cibercrime dos ultimos anos. A documentacao do FBI cita o grupo de ransomware Avaddon como utilizador principal. No total, os investigadores atribuiram a utilizacao da infraestrutura da First VPN a pelo menos 25 operacoes de ransomware distintas, grupos que a utilizaram para reconhecimento de redes, coordenacao de botnets, ataques DDoS e entrega de ransomware.
Como decorreu a investigacao
A investigacao comecou em dezembro de 2021, mais de quatro anos antes do desmantelamento publico. Este prazo reflete o tempo necessario para cartografar a infraestrutura criminosa sem alertar os seus operadores. A fase de encerramento ativo de 19 e 20 de maio de 2026 foi um ataque simultaneo coordenado em varios paises para evitar migracoes de servidores antes que as autoridades pudessem apreender o hardware fisico.
A operacao foi liderada pela BL2C francesa (Brigade de Lutte Contre la Cybercriminalite) e pela NHTC holandesa (National High Tech Crime Unit). O apoio veio da divisao informatica do FBI de Boston, Europol, Eurojust e das forcas de seguranca da Ucrania, Reino Unido, Suica e Luxemburgo. A empresa de ciberseguranca Bitdefender prestou assistencia tecnica.
O resultado: 33 servidores apreendidos em varios paises, todos os dominios clearnet e Tor assumidos e substituidos por avisos de apreensao das forcas de seguranca, e um cidadao ucraniano identificado como administrador do servico, revistado e interrogado pelas autoridades. Mais consequente ainda, os investigadores obtiveram a base de dados de utilizadores do servico. A Europol enviou avisos de aviso aos utilizadores identificados, e os dados geraram 83 pacotes de inteligencia que estao agora a ser utilizados em investigacoes ativas em 16 paises.
O que torna uma VPN "a prova de balas"
O termo "a prova de balas" no cibercrime refere-se a infraestrutura de alojamento ou de rede explicitamente concebida para ignorar as queixas de abuso. Quando uma empresa legitima recebe um relatorio de que um dos seus enderecos IP esta a ser utilizado para atacar hospitais ou implementar ransomware, investiga e cancela a conta. Os fornecedores a prova de balas recebem as mesmas queixas e nao fazem nada - essa nao resposta e o produto principal que e vendido.
A First VPN nao era uma ferramenta de privacidade que por acaso foi mal utilizada. Foi concebida desde o inicio para uso criminoso. A cadeia de multi-saltos ate quatro nos, o protocolo VLESS Reality para evasao de firewalls, o pagamento exclusivo em criptomoeda, o marketing apenas em forunsm, o suporte baseado em Jabber - nenhuma destas funcionalidades se encontra nos servicos de privacidade para consumidores. Sao funcionalidades de seguranca operacional para atacantes que precisam de permanecer invisiveis enquanto comprometem redes corporativas.
Os fornecedores de VPN legitimos operam de forma diferente em todos os niveis. Publicam termos de servico que proibem atividades ilegais. Respondem a pedidos legais validos. Mantem entidades juridicas publicas e pagam impostos. Fazem publicidade abertamente. Quando uma conta e utilizada para ataques, os seus sistemas de deteao de fraude sinalizam-na e a conta e suspensa. A capacidade tecnica de encaminhar trafego e a mesma; o modelo de negocio, a governacao e a base de clientes sao completamente diferentes.
A dimensao do que foi descoberto
A apreensao da base de dados de utilizadores e o aspeto desta operacao com as consequencias mais duradouras. Os investigadores dispõem agora de registos que ligam enderecos IP especificos e dados de sessao a campanhas de ataque especificas. Para as mais de 500 pessoas agora sob investigacao em 16 paises, a perda da First VPN nao e o principal problema - e que a sua seguranca operacional para anos de atividade criminosa foi retroativamente comprometida. Os dados nao expiram.
Este e o padrao constante nos desmantelamentos de infraestruturas a prova de balas. Os criminosos escolhem estes servicos acreditando que o fornecedor nunca cooperara com as autoridades. O que nao contam e que uma apreensao dos servidores do fornecedor da as autoridades tudo o que o fornecedor teria recusado entregar voluntariamente - registos, registos de pagamento, identificadores de utilizador e metadados de trafego que remontam a anos atras.
O que isto significa para os utilizadores preocupados com a privacidade
O FBI foi direto sobre o alcance desta operacao. A documentacao oficial afirma explicitamente que a acao "diz respeito unicamente ao servico First VPN e nao se estende a outros fornecedores de VPN com nomes semelhantes". A investigacao visou uma empresa criminosa especifica, nao uma categoria de tecnologia.
Utilizar uma VPN de reputacao para privacidade - para proteger dados em Wi-Fi publico, aceder a conteudos em paises com filtragem restritiva ou reduzir o rastreio por parte de anunciantes - continua a ser legalmente inequivoco na maioria das jurisdicoes e nao e afetado de forma alguma por esta operacao. A infraestrutura que foi apreendida servia gangues de ransomware. A infraestrutura que utiliza para proteger a sua ligacao ao seu banco nao o faz.
A licao significativa para os utilizadores focados na privacidade diz respeito a selecao de fornecedores, nao a utilizacao de VPN em geral. Os servicos que fazem publicidade em forunsm criminosos, aceitam apenas criptomoedas, nao oferecem termos de servico e comercializam cadeias multi-saltos concebidas para evasao de firewalls nao sao ferramentas de privacidade. Sao infraestrutura operacional para campanhas de ataque. A diferenca e visivel antes de se registar - se souber o que procurar.
