Компания Microsoft сообщила о ликвидации RedVDS — крупной платформы по продаже виртуальных серверов, ущерб от работы которой превышает 40 млн долларов только в США. Компания подала иски в американские и британские суды, добилась изъятия инфраструктуры RedVDS, закрыла доступ к маркетплейсу и клиентскому порталу. Операция проводилась совместно с Европолом и немецкими властями.
В качестве истцов к Microsoft присоединились фармацевтическая компания H2-Pharma из Алабамы, потерявшая 7,3 млн долларов в ходе BEC-атаки, а также ассоциация Gatehouse Dock во Флориде, у которой похитили почти 500 000 долларов.
«Всего за 24 доллара в месяц RedVDS предоставлял преступникам доступ к одноразовым виртуальным машинам, которые делали мошенничество дешевым, масштабируемым и трудноотслеживаемым, — рассказывает Стивен Масада (Steven Masada), помощник генерального юрисконсульта подразделения Microsoft Digital Crimes Unit. — Такие сервисы незаметно превратились в движущую силу роста киберпреступности, поддерживая атаки, которые бьют по людям, бизнесу и сообществам по всему миру».
RedVDS был активен с 2019 года, используя домены redvds[.]com, redvds[.]pro и vdspanel[.]space. Сервис продавал доступ к виртуальным Windows-серверам с правами администратора и без каких-либо ограничений по использованию. По информации исследователей, клиентами платформы были несколько хак-групп, которые Microsoft отслеживает как Storm-0259, Storm-2227, Storm-1575 и Storm-1747.
Расследование показало, что разработчик и оператор сервиса (группировка Storm-2470) создавал все виртуальные машины из одного клонированного образа Windows Server 2022. Это оставило характерный технический след — все инстансы имели одинаковое имя компьютера WIN-BUNS25TD77J. Эта аномалия помогла исследователям обнаружить причастность платформы к разным вредоносным кампаниям.
RedVDS арендовал серверы у сторонних хостинг-провайдеров в США, Великобритании, Франции, Канаде, Нидерландах и Германии. В итоге преступники могли выбирать IP-адреса, географически близкие к жертвам и легко обходить геоблокировки.
На арендованных машинах клиенты разворачивали широкий спектр малвари и инструментов: утилиты для массовых рассылок, парсеры email-адресов, средства анонимизации и ПО удаленного доступа. Сервис позволял рассылать фишинговые письма, хостить мошенническую инфраструктуру и заниматься мошенничеством, сохраняя анонимность через криптовалютные платежи.
Серверы RedVDS также использовались для кражи учетных данных, захвата аккаунтов, BEC-атак и мошенничества с перенаправлением платежей в сделках с недвижимостью. Последнее привело к крупным финансовым потерям для более чем 9000 клиентов в Канаде и Австралии.
В Microsoft отмечают, что многие клиенты RedVDS применяли инструменты на базе ИИ, включая ChatGPT, для создания более убедительных фишинговых писем. Другие использовали технологии подмены лиц, видео-дипфейки и клонировали голоса для имитации доверенных организаций и людей.
За один месяц киберпреступники, контролировавшие более 2600 виртуальных машин RedVDS, в среднем рассылали миллион фишинговых сообщений в день только пользователям Microsoft. В результате только за последние четыре месяца им удалось скомпрометировать почти 200 000 аккаунтов Microsoft.
«С сентября 2025 года атаки через RedVDS привели к компрометации или мошенническому доступу к более чем 191 000 организаций по всему миру, — добавляет Масада. — Эти цифры отражают лишь часть пострадавших аккаунтов и подчеркивают, насколько быстро подобная инфраструктура позволяет масштабировать кибератаки».
