First VPN, ransomware i infrastruktura anonimowości

Europol poinformował 21 maja 2026 r. o rozbiciu First VPN, usługi używanej według organów ścigania do ukrywania ataków ransomware, kradzieży danych i innych poważnych przestępstw. Operacja kierowana przez Francję i Holandię, ze wsparciem Eurojustu, objęła 33 serwery, zamknięte domeny 1vpns i identyfikację tysięcy użytkowników powiązanych z cyberprzestępczością.
Europejskie organy ścigania opisały operację, która dobrze pokazuje, że współczesna cyberprzestępczość nie składa się wyłącznie z ludzi piszących złośliwy kod. Składa się również z usług, infrastruktury, paneli, pośredników i wygodnych narzędzi, dzięki którym atakujący mogą udawać, że nie zostawiają śladów. First VPN miał być właśnie takim narzędziem: prywatną drogą ucieczki dla ludzi, którzy nie chcieli być widoczni po ataku.
Według Europolu usługa była promowana na rosyjskojęzycznych forach cyberprzestępczych jako sposób pozostawania poza zasięgiem organów ścigania. Miała oferować anonimowe płatności, ukrytą infrastrukturę i rozwiązania projektowane specjalnie pod nielegalną aktywność. Europol wskazuje, że First VPN pojawiał się w niemal każdej większej sprawie cyberprzestępczej wspieranej przez agencję w ostatnich latach. To zdanie brzmi technicznie, ale jego sens jest prosty: nie chodziło o poboczne narzędzie, tylko o element zaplecza.
Sama operacja została przeprowadzona 19 i 20 maja 2026 r. przez organy francuskie i holenderskie, przy wsparciu Europolu i Eurojustu. Według komunikatu rozmontowano 33 serwery powiązane z usługą, zamknięto domeny 1vpns.com, 1vpns.net i 1vpns.org oraz powiązane domeny onion. Strona przejęcia Operation Saffron pokazuje również 27 krajów i listę infrastruktury IP identyfikowanej jako część systemu 1VPNS. Użytkownicy usługi mieli zostać poinformowani, że została ona zamknięta i że zostali zidentyfikowani.
Najważniejszy mechanizm nie polega jednak tylko na wyłączeniu serwerów. Według Europolu śledczy uzyskali dostęp do usługi, jej bazy użytkowników i połączeń VPN wykorzystywanych przez osoby próbujące ukrywać aktywność. Zebrane informacje miały ujawnić tysiące użytkowników powiązanych z ekosystemem cyberprzestępczym i wygenerować tropy operacyjne do spraw ransomware, oszustw, kradzieży danych oraz innych poważnych przestępstw. W praktyce wygląda to tak, jakby ktoś przez lata sprzedawał zasłony do nielegalnego warsztatu, a potem okazało się, że w tkaninie były wszyte znaczniki.
Według informacji o wsparciu Eurojustu sprawa została otwarta na wniosek władz francuskich w maju 2022 r., po tym jak usługę zauważono na znanych forach przestępczych. W listopadzie 2023 r. powstał wspólny zespół śledczy Francji i Holandii, a kolejne państwa dołączały przez europejskie nakazy dochodzeniowe i wnioski o pomoc prawną. To ważne, bo cyberprzestępczość żyje z granic: serwer w jednym kraju, administrator w drugim, ofiary w trzecim, pieniądze w czwartym. Bez wspólnej procedury całość przypomina pogoń za dymem w kilku pokojach naraz.
Europol podał, że w działaniach uczestniczyły lub wspierały je organy z wielu państw, w tym Francji, Holandii, Luksemburga, Rumunii, Szwajcarii, Ukrainy i Wielkiej Brytanii. W Ukrainie przeprowadzono przeszukanie i rozmowę z administratorem usługi. Po stronie analizy danych działała też grupa operacyjna Europolu z udziałem służb z kilkunastu państw, w tym Kanady, Danii, Estonii, Francji, Łotwy, Litwy, Holandii, Portugalii, Rumunii, Szwajcarii, Ukrainy, Wielkiej Brytanii, Stanów Zjednoczonych i innych partnerów.
Trzeba tu zachować rozróżnienie, bo bez niego łatwo wejść w fałszywy skrót. VPN jako technologia nie jest przestępstwem. Dla dziennikarzy, firm, aktywistów i zwykłych użytkowników może być narzędziem bezpieczeństwa. Problem zaczyna się wtedy, gdy usługa według organów ścigania jest budowana, reklamowana i sprzedawana jako schron dla przestępców. To różnica między zamkiem w drzwiach a magazynem kluczy do cudzych mieszkań.
Status sprawy jest operacyjny, nie sądowo zakończony. Europol mówi o rozbiciu infrastruktury, identyfikacji użytkowników i działaniach wobec administratora. Nie oznacza to automatycznie, że każda osoba korzystająca z usługi została skazana albo że każdy wątek dowodowy jest już zamknięty. Oznacza natomiast, że organy ścigania dostały dużą paczkę danych i teraz mogą używać jej w sprawach prowadzonych w wielu jurysdykcjach.
Międzynarodowa stawka jest wysoka. Ransomware nie zatrzymuje się na granicy, a ataki na firmy, szpitale, urzędy i infrastrukturę krytyczną często zaczynają się od banalnego pytania: jak ukryć drogę wejścia i wyjścia. First VPN miał według Europolu odpowiadać właśnie na tę potrzebę. Jeśli ten element znika, nie kończy to cyberprzestępczości, ale wyrywa jedną z desek z podłogi, po której wielu sprawców chodziło zbyt pewnym krokiem.
Puenta jest prosta. W cyberświecie czasem najbardziej kompromitujący nie jest sam napad, tylko sklep z narzędziami stojący obok i obiecujący: spokojnie, nikt nie zapamięta twarzy klienta. Tym razem, według Europolu, sklep został zamknięty, serwery wyniesione, a lista klientów przestała być wyłącznie ich tajemnicą.
Autor i redaktor Libra True
Czytaj również


Ponad 9 tys. zł za auto zatrzymane w Niemczech. Dopiero RPO zatrzymał karę z automatu.
Obywatel dostał ponad 9 tys. zł opłaty karnej za brak OC, choć z dokumentów opisanych przez RPO wynikało, że samochód został zatrzymany przez niemieckie służby, odholowany, a następnie sprzedany na pokrycie kosztów przechowywania. UFG zamknął sprawę dopiero po interwencji Rzecznika Praw Obywatelskich i dodatkowym zapytaniu do sądu. To nie jest tylko historia o jednej karze. To opowieść o państwowym automacie, który potrafi działać szybciej niż zdrowy rozsądek.


Kiedy obywatel pyta anonimowo, państwo zaczyna pytać o obywatela Po wyroku NSA w sprawie GITD stawką nie jest jeden fotoradar, lecz granica między bezpieczeństwem publicznym a prawem do cichej kontroli władzy.
Naczelny Sąd Administracyjny oddalił skargę kasacyjną Rzecznika Praw Obywatelskich w sprawie anonimowego wniosku o informację publiczną skierowanego do Głównego Inspektora Transportu Drogowego. Sprawa dotyczyła danych o funkcjonowaniu fotoradaru, ale jej znaczenie jest znacznie szersze: chodzi o to, czy obywatel, dziennikarz, sygnalista albo osadzony może pytać państwo bez natychmiastowego ujawniania własnej tożsamości.


RPO wskazuje na spóźnione i niepełne odpowiedzi Straży Granicznej w sprawie deportacji 3 obywateli Afganistanu z 10 kwietnia 2026 r.
Rzecznik Praw Obywatelskich opisał sprawę, w której czas był nie dodatkiem, lecz istotą kontroli państwa. Przed deportacją obywateli Afganistanu RPO pytał Straż Graniczną o listę osób, pełnomocników i udział organizacji monitorujących, ale część informacji miała trafić do Biura dopiero po fakcie. MSWiA odpowiada, że działania rządu odbywały się w granicach prawa, lecz samo przyznaje, że sposób komunikacji SG z RPO mógł budzić zastrzeżenia.


Dane obywatela w rękach państwa. RPO i PUODO pokazują lukę, której rząd nie może zamiatać analizą.
RPO 8 czerwca 2026 r. poparł PUODO w sprawie zmian w ustawie wdrażającej unijną dyrektywę policyjną. Problem jest poważniejszy niż techniczna korekta: chodzi o dane przetwarzane przez organy ścigania, sądy, prokuraturę i służby, a także o wyłączenia, które mogą odbierać obywatelowi realną kontrolę nad własnymi informacjami. Ministerstwo Sprawiedliwości przyznało, że część analiz potwierdza luki i wątpliwości. Teraz odpowiedzialność polityczna jest prosta: MSWiA musi pokazać, czy naprawia system, czy tylko go opisuje.