13 июля 2026 года Министерство финансов США внесло в санкционный список SDN гражданина Украины Дмитра Рашевского (Dmytro Rashevskyi) и подконтрольный ему VPN-сервис First VPN Service (1VPNS). Параллельно санкций подвергся белорусский гражданин Евгений Силаев — продавец так называемых «крипторов», программ, маскирующих вредоносное ПО под легитимное и делающих его невидимым для антивирусов.
Двенадцать лет в тени
По данным OFAC, с 2014 года First VPN продавал анонимизирующую инфраструктуру вымогателям, мошенникам и злоумышленникам, атаковавшим американские компании, больницы и органы местной власти. Сервис рекламировался на русскоязычных криминальных форумах — Exploit.in и XSS.is — как инструмент, который «не сотрудничает ни с какими судебными органами, не хранит данные и не подпадает под какую-либо юрисдикцию». Именно это обещание сделало его популярным среди как минимум 25 ransomware-групп.
Рашевский действовал под несколькими псевдонимами — «JOBBERJOBBER777», «RASHDV7», «Johny Walker» и другими. В санкционный список OFAC включены также его криптокошельки в биткоине и эфире, что позволяет отслеживать и блокировать дальнейшее движение средств.
Операция Saffron: что было до санкций
Санкции — это продолжение, а не начало. В мае 2026 года французские и нидерландские правоохранители при поддержке Europol и Eurojust провели операцию Saffron: 19–20 мая было снесено 33 сервера, конфискованы домены (1vpns.com, 1vpns.net, 1vpns.org и .onion-версии), проведены обыск в Украине и допрос администратора сервиса.
«First VPN глубоко укоренился в киберпреступную экосистему и фигурировал почти в каждом крупном расследовании, которое поддерживал Europol».
— Europol, пресс-релиз от 21 мая 2026 года
Следователи получили доступ к базе пользователей сервиса — и 506 из них уже идентифицированы благодаря данным, предоставленным румынской компанией Bitdefender.
Сколько денег прошло через сервис
Аналитическая компания TRM Labs, которая отслеживала блокчейн-активность First VPN еще до санкций, установила прямые платежи от вымогательских групп. В частности, группа Anubis ransomware перечислила сервису $715 в декабре 2025-го и марте 2026 года. Сумма небольшая — но она подтверждает транзакционную связь между оператором VPN и конкретными криминальными группировками, что критически важно для судебного преследования.
OFAC отмечает: группировки, пользовавшиеся услугами Рашевского и Силаева, нанесли американскому бизнесу и критической инфраструктуре миллиарды долларов убытков. Атаки затронули больницы — то есть речь идет не только о финансовых потерях корпораций, но и об угрозах для пациентов.
Почему это важно для киберэкономики преступления
Этот кейс демонстрирует изменение логики санкций: OFAC впервые в масштабе бьет не по исполнителям атак, а по поставщикам инфраструктуры — тем, кто продает анонимность как услугу. По словам Bitdefender, каждое такое разрушение повышает операционные затраты для следующего сервиса:
«Новые сервисы анонимизации появятся. Но каждое такое разрушение сокращает операционное окно следующего и повышает барьер для тех, кто привык к готовым решениям».
— Bitdefender, комментарий к операции Saffron
- Замораживание активов — любые американские или связанные с США активы Рашевского блокируются
- Запрет транзакций — американские лица и компании не могут иметь с ним никаких деловых отношений
- Цепной эффект — клиенты 1VPNS, чьи данные уже у следователей, получили уведомление: их личности установлены
Параллельно ведется уголовное разбирательство: Рашевский уже допрошен в мае, а криптоадреса в санкционном списке позволяют продолжить слежение за движением средств даже после разрушения сервиса.
Если американской прокуратуре удастся добиться экстрадиции или заочного приговора, кейс станет прецедентом для преследования поставщиков «криминальной инфраструктуры как услуги» — категории, которая до этого фактически существовала в правовой серой зоне.