Safe-Inet werd omschreven als een ‘bulletproof VPN-dienst’, een virtueel privénetwerk dat tegen betaling werd aangeboden om internetcommunicatie te versleutelen en te anonimiseren (Europol, 22 december 2020). In een gecoördineerde actie op 21 december 2020 (Operatie “Nova”) werd Safe-Inet offline gehaald en de infrastructuur ontmanteld.

De dienst bestond al meer dan tien jaar en werd o.a. gebruikt door ransomwaregroepen en hackers om hun locatie te verbergen. Safe-Inet adverteerde op ondergrondse fora dat men tot vijf VPN-lagen kon afnemen voor maximale anonimiteit.

De VS koppelden de operatie aan cybercrime ‘facilitators’ en ‘bulletproof hosting’:

“These services are designed to facilitate uninterrupted online criminal activities and to allow customers to operate while evading detections by law enforcement.  Many of these services are advertised on online forums dedicated to discussing criminal activity.  A bulletproof hoster’s activities may include ignoring or fabricating excuses in response to abuse complaints made by their customer’s victims; moving their customer accounts and/or data from one IP address, server, or country to another to help them evade detection; and not maintaining logs (so that none are available for review by law enforcement).  By providing these services, the bulletproof hosts knowingly support the criminal activities of their clients and become coconspirators in criminal schemes.”

Bron: Justice.gov, 22 december 2020, ‘U.S. LAW ENFORCEMENT JOINS INTERNATIONAL PARTNERS TO DISRUPT A VPN SERVICE USED TO FACILITATE CRIMINAL ACTIVITY’.

Opsporing en aanpak

Operation Nova werd geleid door de politie in Reutlingen (Duitsland) in samenwerking met Europol, FBI, en opsporingsdiensten in Nederland en Frankrijk, heeft niet geleid tot arrestaties. Uit het persbericht blijkt dat opsporingsdiensten een tap op de Safe-Inet-servers zelf hadden lopen. Het is onduidelijk hoe daarbij toegang tot de server werd verkregen.  

Tijdens Operatie Nova wisten de autoriteiten de complete Safe-Inet infrastructuur in vijf landen in beslag te nemen of ontoegankelijk te maken. In Duitsland, Nederland, Zwitserland, Frankrijk en de Verenigde Staten zijn servers van Safe-Inet in beslaggenomen. Daarnaast werden alle bijbehorende domeinnamen van Safe-Inet overgenomen zoals (safe-inet.com, safe-inet.net, insorg.org).

Wie na de actie de website van Safe-Inet bezocht, zag een splash-pagina van politie/Europol die aangaf dat de dienst niet meer beschikbaar was.

Opsporingsinstanties waarschuwden 250 bedrijven die potentieel slachtoffer zouden zijn van op handen zijnde ransomware-aanvallen, waarbij gebruik werd gemaakt van de VPN-dienst.