maj 16, 2026 eBuilder ingår avtal kring SOC/MDR med en TechHub.
maj 11, 2026 eBuilder ingår avtal kring SOC/MDR och automatiserade pentester med ett förlag.
maj 8, 2026 eBuilder ingår avtal kring pentester med ett världsledande petrokemisk producent.
april 8, 2026 eBuilder skriver avtal kring MDR/SOC med en hotellkedja.
mars 13, 2026 eBuilder skriver avtal om SOC-tjänst med mellansvensk kommun.
mars 2, 2026 Stort internationellt stålföretag väljer eBuilders Complorer för cybersäkerhetsutbildning.
mars 2, 2026 Stort internationellt stålföretag väljer eBuilder som leverantör för Penetrationstestning.
mars 2, 2026 En kommunikations-/brandingbyrå väljer eBuilders Complorer för cybersäkerhetsutbildning.
Company News
mobile-menu-icon
Kritisk Infrastruktur

Europol stänger ner First VPN, anonymitetstjänsten bakom flera års cyberbrottsutredningar

Blog Reading Time 5 Lästid / maj 22, 2026
Europol Dismantles First VPN, the Anonymity Layer Behind Years of Cybercrime Cases

Europeisk polis har stängt ner First VPN, en VPN-tjänst som enligt Europol förekommit i nästan varje större cyberbrottsutredning som myndigheten har stöttat de senaste åren.

Insatsen, med kodnamnet Operation Saffron, genomfördes den 19 och 20 maj. Utredare från Frankrike och Nederländerna ledde operationen, där 33 servrar togs offline runt om i Europa och tjänstens domäner beslagtogs, däribland 1vpns.com, 1vpns.net och 1vpns.org. Myndigheter i Ukraina förhörde tjänstens påstådda administratör och genomförde en husrannsakan i personens bostad på begäran av franska utredare. Personen har inte namngivits. Europol och Eurojust samordnade insatsen, med stöd från Luxemburg, Schweiz, Rumänien, Ukraina och Storbritannien.

First VPN var inte en konsumenttjänst för integritet. Den marknadsfördes på ryskspråkiga cyberbrottsforum som ett sätt att dirigera om anslutningar via tredje part och försvåra identifiering. Europol uppger att tjänsten hade blivit en del av den kriminella infrastrukturen och använts för att dölja aktivitet bakom ransomware-angrepp och bedrägerier.

Servrarna var inte det viktigaste fyndet

Att 33 servrar togs offline är den synliga delen av operationen. Den långsiktiga skadan ligger i datan. Utredarna kom över First VPN:s användardatabas och kunde koppla VPN-anslutningar till misstänkta personer som redan förekom i aktiva utredningar. Enligt Help Net Security har myndigheterna hittills delat 83 underrättelsepaket som omfattar 506 användare med partnerländer. Europol uppger att det bredare materialet avslöjade tusentals användare med koppling till cyberbrottslighet.

Den skillnaden är viktig. Servrar kan byggas upp igen inom några veckor, hos en ny leverantör, i en ny jurisdiktion och under ett nytt namn. En användardatabas som kopplar faktiska nätverksanslutningar till verkliga brottsutredningar går inte att återställa. Varje operatör som litade på att First VPN skulle hålla dem anonym är nu ett utredningsspår.

Ett löfte om “inga loggar” som inte höll

Tjänster som First VPN säljer en sak: försäkran om att inget sparas och att ingen anslutning kan spåras tillbaka till en kund. Det löftet är själva produkten. Operation Saffron visar att det inte höll. Utredarna återfann en användardatabas med tillräckligt detaljerad information för att koppla specifika anslutningar till namngivna misstänkta. Det innebär att First VPN antingen loggade aktivitet som tjänsten påstod sig radera, eller sparade betydligt mer information än kunderna fick veta.

Det är en återkommande svaghet på marknaden för kriminell anonymitet. En så kallad bulletproof VPN är bara så tillförlitlig som operatören bakom den. En operatör som hamnar under press från polis har dessutom starka skäl att spara uppgifter som senare kan användas i förhandlingar om mildare påföljder. Kriminella som skickar sin trafik via sådana tjänster lägger sitt förtroende hos någon de aldrig har träffat och inte kan ställa till ansvar.

First VPN låg i samma lager av cyberbrottslighetens leveranskedja som så kallade bulletproof hosting-leverantörer: infrastruktur som säljs specifikt för att hålla olagliga operationer igång och utredare ute. Europol har under flera år riktat in sig på just det lagret, snarare än enskilda grupper, eftersom gemensam infrastruktur är en svag punkt för många gärningspersoner samtidigt.

Kriminella VPN-tjänster har kort livslängd

Det här är inte första gången Europol har stängt ner en kriminell VPN-tjänst, och erfarenheterna från tidigare insatser är inte särskilt uppmuntrande. I december 2020 samordnade Europol en operation mot Safe-Inet, en tjänst som enligt Europol hade annonserats på cyberbrottsforum för upp till 190 dollar per år och kopplats till några av världens mest aktiva ransomware-grupper. I januari 2022 slog utredare ut VPNLab.net, som byggde på OpenVPN, sålde åtkomst för omkring 60 dollar per år och återkom i flera utredningar om ransomware-angrepp. Den operationen tog 15 servrar offline i flera länder.

I varje fall fylldes tomrummet på marknaden. Operatörerna som förlorade åtkomst flyttade till konkurrenter, och nya tjänster annonserades på samma forum inom några månader. First VPN tog själv plats i en marknad som tidigare nedstängningar hade öppnat.

Nedstängningen av First VPN kommer att störa de kriminella som använde tjänsten. Om den förändrar deras beteende längre än några veckor är en annan fråga, och det ärligt svarat troligen inte. Underrättelsematerialet är den del av operationen som fortfarande kommer att spela roll om ett år. De 506 användare som redan nämns i underrättelsepaket, och de tusentals fler som Europol säger finns i det bredare materialet, är nu utredningsspår i sina respektive jurisdiktioner snarare än anonyma forumanvändare.

Användare av tjänsten har meddelats att deras aktivitet loggades och att deras identiteter är kända för utredare.

Referenser

  1. Europe dismantles VPN service used by cybercriminals to hide activity
  2. Authorities dismantle First VPN, used by ransomware actors (Operation Saffron)
  3. European authorities take down prolific cybercrime VPN service
  4. France, Netherlands dismantle VPN linked to cybercrime
  5. European law enforcement pulls the plug on First VPN
  6. Europol Newsroom

This post is also available in: English

Related News

Vattenbolag bötfälls med 12 miljoner efter två år med oupptäckta hackare

Information Commissioner's Office bötfällde South Staffordshire Water med 963 900 pund på måndagen efter att ransomware-gruppen Cl0p fanns kvar i företagets nätverk i nästan två…

Cyber News Calendar icon maj 12, 2026
Polish Water Systems Hit by 20 Attacks as Russia Escalates Infrastructure War

Tjugo angrepp mot polska vattensystem när Ryssland trappat upp infrastrukturkriget

Cyber News Calendar icon maj 8, 2026
Region Sörmland IT Disruption Grounds Mammography Services for Hours

IT-haveri stoppade mammografier i Region Sörmland i flera timmar

Cyber News Calendar icon maj 5, 2026
Swedish Security Police Identify Pro-Russian Group Behind Failed Power Plant Attack

Säkerhetspolisen identifierar rysk grupp bakom misslyckat kraftvärmeverk-angrepp

Cyber News Calendar icon april 16, 2026
Europol Warns Middle East Conflict Raises EU Terror Threat

Europol varnar: Mellanösternkonflikten ökar terrorhotet mot EU

Cyber News Calendar icon mars 10, 2026

Ta nästa steg - säkra er verksamhet

Säkerställ att ert företag är skyddat mot cyberhot. Kontakta oss så berättar vi mer.

Kontakta oss