🛡️ Executive Summary
- OFAC sanziona 1VPNS, il suo amministratore Dmytro Rashevskyi e il venditore di cryptor Yegeniy Silayev per il sostegno al ransomware.
- VPN criminali e strumenti di offuscamento nascondono gli operatori, distribuiscono malware e riducono l’efficacia dei sistemi di rilevamento.
- Le proprietà statunitensi dei soggetti designati vengono bloccate e le transazioni con cittadini ed entità americane risultano vietate.
Il Dipartimento del Tesoro degli Stati Uniti ha sanzionato un provider VPN e due individui accusati di fornire infrastrutture e strumenti tecnici ai gruppi ransomware. Le designazioni dell’Office of Foreign Assets Control, OFAC, colpiscono First VPN Service, conosciuta come 1VPNS, il suo amministratore Dmytro Rashevskyi e il venditore di cryptor Yegeniy Vladimirovich Silayev. L’azione punta a interrompere la filiera che permette ai cybercriminali di nascondere la provenienza degli attacchi, distribuire malware, offuscare i payload e gestire i dati sottratti alle vittime. Le misure completano il sequestro dell’infrastruttura di 1VPNS realizzato dalle autorità europee nel maggio 2026 con il sostegno dell’FBI.
Cosa leggere
OFAC colpisce la filiera tecnica che sostiene gli attacchi ransomware
Le nuove designazioni mostrano come la strategia statunitense contro il ransomware non sia più concentrata esclusivamente sugli affiliati che penetrano nelle reti o sugli operatori che negoziano i riscatti. OFAC interviene contro i fornitori specializzati che rendono possibili le campagne di estorsione digitale, trattando VPN criminali, servizi di hosting, cryptor e infrastrutture di anonimizzazione come componenti della stessa catena operativa. First VPN Service viene descritta come una piattaforma utilizzata principalmente da gruppi ransomware e altri attori cybercriminali per cifrare il traffico, occultare la posizione geografica degli operatori e separare le attività malevole dalle infrastrutture personali. Il servizio avrebbe permesso di distribuire malware, amministrare le operazioni di intrusione e trasferire o gestire i dati sottratti durante gli attacchi. Il provvedimento si inserisce in una linea già applicata contro hosting provider e reti considerate permissive verso gli abusi, come nel caso delle sanzioni statunitensi contro Aeza Group per il supporto fornito alle operazioni ransomware. Il Tesoro considera questi servizi essenziali per mantenere la resilienza dell’ecosistema criminale: quando un dominio viene sequestrato o un server viene chiuso, gli attaccanti possono migrare rapidamente, ma la capacità di procurarsi nuove identità, nodi VPN e strumenti di evasione determina la velocità con cui riescono a ricostruire l’operazione.
1VPNS nascondeva gli operatori e prometteva di non collaborare con le autorità
Dmytro Rashevskyi, amministratore di 1VPNS, avrebbe promosso il servizio sui forum cybercriminali almeno dal 2014, presentandolo come una soluzione priva di registri e resistente alle richieste delle forze dell’ordine. Secondo il Tesoro, Rashevskyi avrebbe utilizzato anche le identità di Maksim Sorin e Roman Chabanenko per acquistare infrastrutture e mantenere operativa la rete nonostante ripetute segnalazioni di abuso. La promessa di una rigorosa policy no-log rappresentava un elemento commerciale centrale, perché gli operatori ransomware cercano servizi capaci di evitare l’associazione tra indirizzi IP, pagamenti, credenziali e attività svolte durante un’intrusione. Una VPN di questo tipo non serve soltanto a nascondere la posizione dell’attaccante: può essere impiegata per accedere ai sistemi compromessi, controllare server di comando, trasferire archivi esfiltrati, comunicare con le vittime e amministrare i portali di pubblicazione utilizzati nella doppia estorsione. Nel maggio 2026 le autorità europee, con il supporto dell’FBI, hanno rimosso il sito e parte dell’infrastruttura del servizio, identificando migliaia di utenti. L’operazione è stata raccontata da Matrice Digitale nell’approfondimento sullo smantellamento di First VPN da parte di Europol e sul suo utilizzo sistematico da parte dei gruppi ransomware. Le sanzioni finanziarie aggiungono ora un secondo livello di pressione, impedendo agli operatori di utilizzare normalmente il sistema economico statunitense e aumentando il rischio per provider, intermediari e soggetti che continuassero a fornire loro servizi.
I cryptor di Silayev trasformavano il malware in file difficili da rilevare
La seconda componente colpita dall’azione di OFAC riguarda Yegeniy Vladimirovich Silayev, cittadino bielorusso accusato di vendere cryptor destinati agli sviluppatori di ransomware e ad altri operatori del cybercrime. Nel linguaggio criminale, un cryptor è uno strumento che cifra, comprime, trasforma o offusca un payload malevolo per modificarne la struttura senza comprometterne il funzionamento. L’obiettivo è ridurre la capacità degli antivirus, dei sistemi EDR e degli scanner statici di riconoscere il malware attraverso firme, stringhe, caratteristiche del file o sequenze di codice già note. Questi prodotti possono confezionare il payload all’interno di un loader che lo decifra soltanto in memoria, alterare automaticamente l’impronta del binario e produrre versioni differenti dello stesso ransomware per ogni campagna. La distinzione rispetto agli strumenti di crittografia legittimi risiede nella finalità e nella clientela: i cryptor commercializzati negli ambienti criminali vengono progettati e aggiornati per eludere specificamente i controlli di sicurezza e vengono spesso pubblicizzati come FUD, fully undetectable. Il loro valore cresce quando incorporano tecniche contro sandbox, debugging e analisi comportamentale, oppure quando vengono testati continuamente contro numerosi motori antivirus. Le recenti campagne hanno mostrato quanto l’evasione possa essere decisiva, con criminali capaci di utilizzare anche framework AI e componenti apparentemente legittimi per aggirare EDR e Windows Defender prima di distribuire ransomware. Colpire il venditore del cryptor significa quindi intervenire sul punto in cui il malware viene preparato per superare le difese, prima ancora che venga consegnato agli affiliati responsabili dell’intrusione.
Le sanzioni bloccano proprietà e transazioni nel sistema americano
Le designazioni sono state adottate in base all’Executive Order 14390 del 6 marzo 2026, che autorizza misure contro persone ed entità straniere responsabili di fornire supporto materiale, tecnologico o finanziario ad attività cyber dannose contro gli Stati Uniti. Con l’inserimento nella lista Specially Designated Nationals and Blocked Persons, tutte le proprietà e gli interessi patrimoniali riconducibili a 1VPNS, Rashevskyi e Silayev presenti negli Stati Uniti o controllati da soggetti americani devono essere bloccati e segnalati a OFAC. Il divieto si estende alle società possedute direttamente o indirettamente per almeno il 50% dai soggetti designati, anche quando tali entità non compaiono nominalmente nella lista. Cittadini, aziende, banche, piattaforme di pagamento e altri operatori sottoposti alla giurisdizione statunitense non possono effettuare transazioni con le persone sanzionate senza una specifica autorizzazione. Le violazioni possono produrre conseguenze civili anche in assenza della consapevolezza di aver infranto le regole e, nei casi più gravi, responsabilità penali. L’impatto pratico non dipende soltanto dall’eventuale presenza di beni negli Stati Uniti: molte transazioni internazionali in dollari attraversano istituzioni finanziarie americane, mentre provider cloud, registrar, exchange e società tecnologiche adottano frequentemente le liste OFAC nei propri controlli di conformità. La designazione può quindi isolare progressivamente gli operatori, rendere più difficile acquistare server o domini e aumentare il costo necessario per ricostruire l’infrastruttura.
Stati Uniti ed Europa coordinano sequestri e pressione finanziaria
L’intervento conferma un modello di contrasto basato sulla combinazione tra operazioni tecniche, indagini penali, sequestri di domini, attribuzione pubblica e sanzioni economiche. Le autorità europee avevano già colpito l’infrastruttura web di 1VPNS, mentre l’FBI ha sostenuto l’azione e pubblicato indicazioni sulle tattiche osservate attraverso il servizio. Il Regno Unito ha adottato parallelamente misure contro altri operatori cybercriminali, rafforzando l’effetto internazionale delle designazioni americane. Una singola operazione di polizia può rendere temporaneamente indisponibile un servizio, ma la pressione finanziaria mira a impedire che amministratori e fornitori possano trasferire con facilità fondi, acquistare nuove risorse o lavorare attraverso società collegate. Questa strategia era già emersa nelle azioni coordinate contro reti ransomware, schemi nordcoreani e infrastrutture di riciclaggio, comprese le sanzioni e i sequestri statunitensi collegati al ransomware BlackSuit. Il coordinamento assume particolare importanza perché provider VPN, bulletproof hosting, cryptor e broker di accesso operano spesso in più giurisdizioni, utilizzano identità false e accettano pagamenti in criptovalute. Nessun singolo Paese può interrompere l’intero ciclo operativo, ma la condivisione degli indicatori e la sincronizzazione delle misure riducono gli spazi in cui i fornitori possono continuare a operare senza conseguenze.
Il ransomware dipende da un mercato di servizi specializzati
Le sanzioni contro 1VPNS e Silayev mostrano che gli attacchi ransomware non sono più il prodotto di piccoli gruppi autosufficienti, ma di un mercato organizzato nel quale diversi fornitori vendono accessi, infrastrutture, malware, offuscamento, riciclaggio e negoziazione. Un affiliato può acquistare credenziali iniziali da un broker, utilizzare una VPN criminale per nascondere le connessioni, impiegare un cryptor per rendere invisibile il payload e affidarsi ad altri soggetti per convertire il riscatto in fondi difficili da tracciare. Questa specializzazione abbassa la barriera tecnica d’ingresso e consente alle organizzazioni ransomware di aumentare il numero delle vittime senza controllare direttamente ogni fase. Le conseguenze ricadono su imprese, ospedali, amministrazioni locali e servizi finanziari, con interruzioni operative, perdita di dati, costi di ripristino e pagamenti che hanno raggiunto complessivamente miliardi di dollari. La pressione sui fornitori di supporto può essere più efficace della sola ricerca degli affiliati, perché elimina risorse condivise da più gruppi contemporaneamente. Resta tuttavia probabile che i criminali tentino di migrare verso nuovi marchi, domini e identità, rendendo necessario monitorare la ricomparsa delle stesse infrastrutture sotto nomi differenti. L’obiettivo delle sanzioni non è quindi soltanto bloccare tre soggetti, ma rendere economicamente e operativamente più rischioso offrire servizi progettati specificamente per sostenere l’estorsione digitale.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.







