核心摘要
- 美国财政部OFAC于2026年7月13日首次制裁勒索软件基础设施服务商:VPN提供商First VPN Service(1VPNS)及其管理员Dmytro Rashevskyi
- 同步制裁白俄罗斯籍“加密器”(cryptor)提供商Yevgeniy Silayev,其工具使勒索软件伪装为安全程序、规避杀毒检测
- OFAC列出20个关联加密地址,涵盖BTC、ETH、TRX、LTC、DOGE、DASH、ZEC、SOL八条公链
- 行动与英国FCDO同步协调,此前Europol已于2026年5月捣毁1VPNS的33台服务器(Saffron行动)
- 制裁策略从”打击勒索软件团伙”升级为“打击犯罪基础设施供应链”,合规义务扩展至VPN/混淆工具服务商
📑 文章目录
- 制裁行动全貌 — OFAC、国务院与欧洲刑警组织的多边协调行动
- 被制裁实体深度拆解 — 1VPNS、Rashevskyi与Silayev的犯罪模式
- 加密行业的合规影响 — SDN名单更新、多链地址监控与筛查义务
- 美国制裁策略的结构性升级 — 从打击犯罪人到打击基础设施供应链
本文由 Aiying 艾盈合规团队原创,转载需授权。
2026年7月13日,美国财政部外国资产控制办公室(OFAC)公布了一项具有标志性意义的制裁行动:首次将勒索软件的”隐身服务商”——VPN提供商与恶意软件加密工具(cryptor)的销售者——纳入制裁名单。同一天,美国国务院、英国外交联邦与发展办公室(FCDO)同步发布声明,欧洲刑警组织(Europol)的Saffron行动成果也被一并公开。这一系列协调动作表明,美国反勒索软件策略正从传统的”抓捕犯罪人”范式,转向更系统性的”摧毁犯罪供应链”。
制裁行动全貌
被制裁主体与法律依据
OFAC本次指定了三个制裁对象,法律依据为经修订的第13694号行政命令(由E.O. 13757、E.O. 14144、E.O. 14306修订),并服务于特朗普总统2026年3月6日签署的第14390号行政命令(”打击针对美国公民的网络犯罪、欺诈与掠夺性计划”):
| 被制裁人/实体 | 身份 | 制裁理由 |
|---|---|---|
| First VPN Service(1VPNS) | VPN服务提供商 | 向勒索软件团伙出售VPN基础设施,用于隐藏攻击来源、部署恶意软件和管理窃取数据 |
| Dmytro Rashevskyi | 1VPNS管理员 | 使用虚假身份(”Maksim Sorin””Roman Chabanenko”)购买基础设施,运营反执法VPN服务十年 |
| Yevgeniy Vladimirovich Silayev | 白俄罗斯籍”cryptor”提供商 | 提供加密混淆工具,使恶意软件伪装为安全程序以绕过防病毒检测 |
多边协调行动
本次制裁并非单边行动。美国国务院发言人Thomas Pigott在声明中强调该行动与英国FCDO同日公布的24项针对网络犯罪代理网络的制裁协调进行,英国还专门制裁了与俄罗斯情报机构(RIS)关联的网络犯罪代理。此前,2026年5月,由法国与荷兰主导、Europol与Eurojust协调的“Saffron行动”已捣毁1VPNS在27个国家的33台服务器和4个域名(包括1vpns.com、1vpns.net、1vpns.org及相关.onion地址)。FBI波士顿外勤办公室为欧洲执法机构提供了支持,并发布了关于1VPNS战术、技术与程序(TTPs)的网络安全公告。
Saffron行动还产生了一个对加密行业具有深远影响的情报成果:执法机构在关闭服务器之前已获取网络流量访问权限,整理了83份情报包,涵盖506名用户及与Phobos勒索软件即服务(RaaS)相关的线索,已分发给27个国家的执法伙伴。这意味着历史使用记录已在调查机构手中。
被制裁实体深度拆解
1VPNS:勒索软件的”隐身衣”
1VPNS并非普通VPN服务商。自2014年起,该实体在Exploit和XSS等俄语网络犯罪论坛上公开投放广告,明确承诺”不保留用户身份与活动日志””拒绝配合执法调查”。TRM Labs全球政策主管Ari Redbord在其LinkedIn分析中指出,至少25种勒索软件变种——包括Anubis、Qilin、Avaddon——曾直接使用1VPNS的基础设施发起攻击。
受害方涵盖美国企业、金融服务公司、医院和市政机构,造成数十亿美元的经济损失。1VPNS的商业模式本质上是向犯罪分子出售”不可追溯性”——通过加密流量和隐藏真实IP地址,使勒索软件团伙能够在不暴露自身位置的情况下部署攻击、管理被窃数据并与受害者进行赎金谈判。
Rashevskyi的运营手法尤为隐蔽。为规避因滥用投诉被服务器供应商拒绝服务,他使用至少三个虚假身份(”Maksim Sorin””Roman Chabanenko”及本人名义)向不同基础设施公司采购服务器资源。这种多层身份伪装使得1VPNS在被Saffron行动捣毁之前,持续运营了逾十年。
Silayev:恶意软件的”隐身斗篷”
OFAC此次对cryptor提供商的制裁同样具有开创性。财政部在声明中特别区分了“合法加密工具”与”恶意加密器”:前者旨在保护数据所有者的隐私,而cryptors”被专门设计为伪装恶意软件,使其更隐蔽、更有效”。Silayev向针对美国及其盟友的勒索软件运营者提供此类加密与混淆服务,OFAC认定其行为构成对网络攻击的”实质性协助”。
这一区分对加密行业具有双重意义:一方面,它划定了合规与违法的边界;另一方面,它为未来可能的加密混合器(mixer)、跨链桥及隐私工具的制裁提供了判例框架。
被列出的20个加密地址
OFAC同步列出与三个被制裁实体关联的20个加密货币地址,TRM Labs的链上分析显示,Anubis、Qilin等勒索软件团伙曾直接向1VPNS支付服务费用。地址涵盖八条公链:
- Bitcoin(BTC) — 多个地址
- Ethereum(ETH) — 若干地址
- Tron(TRX) — 包含USDT交易对地址
- Litecoin(LTC)
- Dogecoin(DOGE)
- Dash(DASH)
- Zcash(ZEC)
- Solana(SOL)
多链覆盖的策略表明,勒索软件基础设施供应商已在主动分散支付渠道以规避单链追踪。这也意味着加密交易平台和合规服务商的制裁筛查必须覆盖全部主流公链,不能仅局限于BTC/ETH。
加密行业的合规影响
SDN名单的即时合规义务
OFAC制裁一经公布即生效。根据财政部声明,被制裁人在美国境内或由美国人持有/控制的所有财产及财产权益均被冻结,且必须向OFAC报告。任何由被制裁人直接或间接持有50%以上权益的实体同样适用。禁止行为包括:
- 向被制裁人提供或接收任何资金、商品或服务
- 促成或共谋导致美国人(明知或不知情地)违反制裁规定
- 从事规避美国制裁的行为
OFAC对制裁违规采取严格责任制(strict liability),可对美国和外国主体施加民事或刑事处罚。财政部金融犯罪执法网络(FinCEN)的举报人激励计划适用于罚金超过100万美元的成功执法案件。
对合规服务商的影响
对于持有美国货币传输牌照(MTL)或BitLicense的加密交易所,本次制裁更新的操作要求包括:
- 立即更新SDN筛查数据库:将20个地址及三个实体/个人名称纳入实时交易监控规则
- 多链地址监控:确保筛查覆盖八条受影响公链及对应代币
- 间接风险暴露审查:追踪与SDN地址发生过交易的第二层地址,评估间接制裁风险
- 可疑交易报告(SAR):识别并报告与上述地址相关的历史及未来交易
特别值得关注的是TRON网络上USDT地址的被列入——考虑到USDT在勒索软件赎金支付中的广泛使用,这一措施直接影响稳定币发行方和交易所的合规筛查义务。
美国制裁策略的结构性升级
从”打人”到”打断腿”
本次行动标志着美国反勒索软件策略的根本转变。财政部代理副部长Gene Lange的表态清晰传达了新逻辑:”我们正在瞄准使勒索软件攻击成为可能的行为者和基础设施。”OFAC不再仅制裁实施攻击的勒索软件团伙本身,而是向上游延伸,打击那些为攻击提供”隐身服务”的基础设施供应商。
这一策略的逻辑基础是:破坏犯罪供应链的某一环节,其效果可能比逮捕单个犯罪者更持久。如果VPN匿名化服务和malware混淆工具的获取成本急剧上升,勒索软件攻击的整体经济模型将受到冲击。
对加密行业的长远信号
将VPN/cryptor服务商纳入制裁范围为加密行业释放了一个清晰且可能具有扩展性的信号:任何为网络犯罪提供工具性服务的基础设施——无论是否直接参与攻击——都可能成为OFAC的制裁目标。这一范式可能逐步扩展至:
- 为受制裁实体提供链上隐私服务的混币器(mixer)与隐私协议
- 为勒索软件团伙提供出入金通道的OTC柜台与P2P平台
- 为恶意地址提供Gas费用的中继器(relayer)服务
合规服务商在评估业务风险时,不应仅关注直接交易对手,还需评估其客户的基础设施供应链和服务提供商的合规状态——OFAC已明显示范了”赋能即责任”的制裁逻辑。
常见问题(FAQ)
合规VPN服务商是否面临制裁风险?
否。OFAC在声明中明确区分了合法VPN服务(用于隐私保护与网络安全)和专为犯罪分子设计的VPN服务。1VPNS被制裁的关键证据是其在网络犯罪论坛公开宣称”不保留日志、不配合执法”——这一商业模式明确以犯罪群体为目标客户。持有合法营业执照、执行KYC和日志保留的VPN服务商不在此次制裁范围内。
加密交易所如何处理20个被制裁地址?
交易所须立即将OFAC公布的20个地址加入交易筛查系统(通常通过Chainalysis、TRM Labs、Elliptic等区块链分析工具实现)。任何与这些地址发生交易的账户需要触发增强尽职调查(EDD),并可能需要提交SAR。间接交易风险(如与被制裁地址在混币器中交互)也需纳入风险评估框架。
本文基于以下一手信源撰写:
- 美国国务院:Sanctioning Ransomware Enablers in Coordinated International Action(2026-07-13)
- National Dossier:Treasury Targets Ransomware Support Networks(2026-07-13)
- 吴说区块链:美国制裁勒索软件”隐身服务商”,将VPN与恶意软件混淆工具纳入打击(2026-07-14)
- Decipher:US Sanctions First VPN Cybercriminal Service(2026-07-13)
- Chainalysis:OFAC and Crypto Crime — Every OFAC SDN with Identified Cryptocurrency Addresses(持续更新)


