Politie infiltreert criminele VPN-dienst en ziet alles wat 25 ransomwaregroepen doen
Europa, zaterdag, 23 mei 2026.
Nederlandse en Franse autoriteiten hebben First VPN ontmanteld, een criminele VPN-dienst die sinds 2014 ransomwaregroepen hielp hun identiteit te verbergen. Het bijzondere: voordat ze de dienst offline haalden op 19 en 20 mei, kregen onderzoekers maandenlang inzage in al het criminele verkeer. Gebruikers die dachten anoniem te opereren, werden volledig doorgelicht. De politie nam 33 servers in beslag en stuurde alle gebruikers een bericht dat ze waren ontmaskerd.
Een schuilplaats voor cybercriminelen sinds 2014
First VPN was geen gewone VPN-dienst. De service adverteerde vanaf circa 2014 openlijk op Russischtalige cybercrimeforums en beloofde criminelen ‘Anonimiteit, Stabiliteit, Veiligheid’ [1]. De dienst verklaarde geen logs op te slaan die gebruikersactiviteiten aan een IP-adres konden koppelen en beweerde onder geen enkele jurisdictie te vallen [3]. Minstens 25 ransomwaregroepen, waaronder Avaddon Ransomware, gebruikten de infrastructuur om hun aanvallen uit te voeren [1]. Abonnementen kostten tussen de 2 en 483 dollar en konden worden betaald via Bitcoin [1]. De dienst gebruikte geavanceerde protocollen zoals VLESS en Reality om VPN-verkeer te camoufleren als gewoon HTTPS-verkeer [1].
Internationale operatie met Nederlandse leiding
Het Team High Tech Crime van de Eenheid Landelijke Opsporing leidde de operatie onder gezag van het Landelijk Parket, samen met Franse autoriteiten [3]. De beheerder werd op verzoek van Frankrijk verhoord in Oekraïne [3]. Tijdens de actie werden domeinen zoals 1vpns.com, 1vpns.net en 1vpns.org in beslag genomen, evenals gerelateerde Tor-domeinen [1]. Bij Europol werd een Operational Taskforce opgezet die 83 analyseproducten deelde met lopende onderzoeken wereldwijd [3]. Alle gebruikers ontvingen een bericht dat ze waren ontmaskerd - een duidelijke waarschuwing dat anonimiteit op internet een illusie kan zijn [3][4].
Waarom dit belangrijk is voor Nederlandse burgers
Deze operatie toont hoe Nederlandse autoriteiten internationaal vooroplopen in de strijd tegen cybercriminaliteit [GPT]. Ransomware-aanvallen treffen ook Nederlandse bedrijven en ziekenhuizen regelmatig, waardoor patiëntenzorg wordt verstoord en bedrijven miljoenen euros schade lijden [GPT]. Door First VPN uit te schakelen, hebben de autoriteiten een belangrijke infrastructuur weggenomen die criminelen gebruikten om Nederlandse doelwitten aan te vallen. De inbeslaggenomen data helpen nu bij andere onderzoeken, wat betekent dat meer cybercriminelen kunnen worden opgespoord. Voor gewone internetgebruikers is de boodschap helder: wie illegale VPN-diensten gebruikt voor criminele activiteiten, loopt het risiko volledig door te lichten te worden door de politie.