Управление по контролю за иностранными активами (OFAC) Минфина США 13 июля 2026 года ввело санкции против VPN-провайдера FirstVPN Service (также известного как 1VPNS), его администратора Дмитрия Рашевского и белорусского гражданина Евгения Силаева. По данным ведомства, с 2014 года сервис предоставлял анонимизирующую инфраструктуру киберпреступникам, гарантируя отсутствие логов и отказ от сотрудничества с правоохранительными органами. Услугами FirstVPN пользовались известные группы вымогателей, включая Anubis, Qilin и Sinobi, для сокрытия источников атак на американские и союзные организации.
Двойной удар по цепочке атак. Санкции направлены не против конкретной хакерской группы, а против инструментов, обеспечивающих их операции, — подчеркивает аналитическая компания TRM Labs. FirstVPN обеспечивал сетевую анонимность, а Силаев поставлял «крипторы» — программы, маскирующие вредоносное ПО под безобидные файлы и позволяющие обходить системы защиты. Вместе эти две составляющие закрывают весь цикл атаки: скрытность в сети и уклонение от обнаружения на конечных устройствах.
Основанием для действий стали указ №14390 (март 2026 г.) о защите государственных систем от зарубежных киберугроз и действующий режим киберсанкций по указу №13694. Параллельно Великобритания ввела аналогичные санкции против других киберпреступников и их пособников. Ранее, в мае 2026 года, европейские власти при поддержке ФБР уже блокировали веб-сайт и инфраструктуру FirstVPN; Бостонское отделение Бюро выпустило рекомендации для бизнеса по выявлению тактик сервиса.
Криптоследы на восьми блокчейнах. OFAC опубликовало пять криптовалютных адресов, привязанных к FirstVPN, в сетях Bitcoin, Ethereum, Litecoin и Tron, причём все они ведут на биржу Cryptomus, ранее классифицированную как высокорисковая. У Рашевского обнаружено 15 адресов в восьми блокчейнах — Bitcoin, Ethereum, Tron, Litecoin, Dogecoin, Dash, Zcash и Solana, что свидетельствует о масштабной диверсификации его активов. Силаев добавлен в санкционный список без указания адресов. Кроме того, Рашевский использовал фальшивые имена («Максим Сорин» и «Роман Чабаненко») для закупки серверных мощностей, так как провайдеры ранее жаловались на злоупотребления со стороны FirstVPN.
Прямые платежи от вымогателей зафиксированы на блокчейне. TRM Labs отследила переводы от группировок Anubis ($715 двумя траншами 13 декабря 2025 г. и 15–16 марта 2026 г.), Qilin ($120 11 января 2026 г.) и Sinobi ($58 8 февраля 2026 г.) напрямую на счета сервиса. Хотя суммы невелики по сравнению с типичными выкупами, сам факт транзакций доказывает зависимость вымогателей от инфраструктуры FirstVPN и показывает, что пособники получают оплату по тем же каналам, которыми пользуются их заказчики. Аналитики призывают службы комплаенса проверять внесённые в чёрный список адреса по своим историям транзакций.
Данный кейс демонстрирует, что крипторегулирование смещается в сторону всей цепочки обеспечения кибератак — от услуг анонимизации до инструментов обхода защиты. Участникам рынка стоит следить за дальнейшими сигналами: усилением комплаенса, интеграцией новых инструментов мониторинга и реакцией бирж на адреса из санкционных списков.