13 липня 2026 року Міністерство фінансів США внесло до санкційного списку SDN громадянина України Дмитра Рашевського (Dmytro Rashevskyi) та підконтрольний йому VPN-сервіс First VPN Service (1VPNS). Паралельно санкцій зазнав білоруський громадянин Євгеній Силаєв — продавець так званих «кріпторів», програм, що маскують шкідливе ПЗ під легітимне й роблять його невидимим для антивірусів.
Дванадцять років у тіні
За даними OFAC, з 2014 року First VPN продавав анонімізуючу інфраструктуру вимагачам, шахраям і зловмисникам, які атакували американські компанії, лікарні та місцеві органи влади. Сервіс рекламувався на російськомовних кримінальних форумах — Exploit.in і XSS.is — як інструмент, котрий «не співпрацює з жодними судовими органами, не зберігає даних і не підпадає під жодну юрисдикцію». Саме ця обіцянка зробила його популярним серед щонайменше 25 ransomware-угруповань.
Рашевський діяв під кількома псевдонімами — «JOBBERJOBBER777», «RASHDV7», «Johny Walker» та іншими. До санкційного списку OFAC включив також його криптогаманці в біткоїні та ефірі, що дозволяє відстежувати і блокувати подальший рух коштів.
Операція Saffron: що було до санкцій
Санкції — це продовження, а не початок. У травні 2026 року французькі та нідерландські правоохоронці за підтримки Європолу й Євроюсту провели операцію Saffron: 19–20 травня було знесено 33 сервери, вилучено домени (1vpns.com, 1vpns.net, 1vpns.org та .onion-версії), проведено обшук в Україні та допитано адміністратора сервісу.
«First VPN глибоко вкоренився в кіберзлочинну екосистему й фігурував майже в кожному великому розслідуванні, яке підтримував Європол».
— Europol, прес-реліз від 21 травня 2026 року
Слідчі отримали доступ до бази користувачів сервісу — і 506 із них вже ідентифіковані завдяки даним, які надала румунська компанія Bitdefender.
Скільки грошей пройшло через сервіс
Аналітична компанія TRM Labs, яка відстежувала блокчейн-активність First VPN ще до санкцій, встановила прямі платежі від вимагацьких угруповань. Зокрема, група Anubis ransomware перерахувала сервісу $715 у грудні 2025-го та березні 2026 року. Сума невелика — але вона підтверджує транзакційний зв'язок між оператором VPN і конкретними злочинними угрупованнями, що критично важливо для судового переслідування.
OFAC зазначає: угруповання, які користувалися послугами Рашевського та Силаєва, завдали американському бізнесу й критичній інфраструктурі мільярди доларів збитків. Атаки торкнулися лікарень — тобто йдеться не лише про фінансові втрати корпорацій, а й про ризики для пацієнтів.
Чому це важливо для кіберекономіки злочину
Цей кейс демонструє зміну логіки санкцій: OFAC вперше масштабно б'є не по виконавцях атак, а по постачальниках інфраструктури — тих, хто продає анонімність як послугу. За словами Bitdefender, кожне таке знесення підвищує операційні витрати для наступного сервісу:
«Нові сервіси анонімізації з'являться. Але кожен таке знесення скорочує операційне вікно наступного і підвищує бар'єр для тих, хто звик до готових рішень».
— Bitdefender, коментар до операції Saffron
- Заморожування активів — будь-які американські або пов'язані з США активи Рашевського блокуються
- Заборона транзакцій — американські особи та компанії не можуть мати з ним жодних ділових стосунків
- Ланцюговий ефект — клієнти 1VPNS, чиї дані вже у слідчих, отримали повідомлення: їхні особи встановлені
Паралельно ведеться кримінальне провадження: Рашевський уже допитаний у травні, а криптоадреси у санкційному списку дозволяють продовжити слідкування за рухом коштів навіть після знесення сервісу.
Якщо американській прокуратурі вдасться домогтися екстрадиції або заочного вироку, кейс стане прецедентом для переслідування постачальників «злочинної інфраструктури як послуги» — категорії, яка до цього фактично існувала в правовій сірій зоні.