Платформа RedVDS предлагала злоумышленникам временные виртуальные машины, позволяя им скрывать свою деятельность. Однако самой службе остаться незамеченной не получилось.
Эксперты компании Microsoft обезвредили масштабную преступную онлайн-службу RedVDS, которую широко использовали киберпреступники по всему миру.
RedVDS функционировал как сервис по модели «киберпреступность как услуга», начав работу в 2019 году. Его администраторы сдавали в аренду виртуальные облачные серверы на Windows с правами администратора и без ограничений на применение. Всего за 24 доллара в месяц злоумышленники получали временные виртуальные компьютеры для проведения атак, что делало практически невозможным определение их истинного источника.
Только с марта 2025 года атаки типа BEC, совершённые клиентами RedVDS, причинили ущерб приблизительно на 40 миллионов долларов. Реальные масштабы могут быть значительно больше, поскольку не все постравшие обращаются в правоохранительные органы.
Microsoft подала гражданские иски в суды США и Великобритании против RedVDS и, при содействии Европола, взяла под контроль инфраструктуру сервиса, отключив как его торговую площадку, так и клиентский портал.
В качестве соистцов выступили фармацевтическая компания H2-Pharma из Алабамы, потерявшая 7,3 миллиона долларов, и ассоциация кондоминиумов Gatehouse Dock из Флориды, ущерб которой составил 500 тысяч долларов.
В ходе расследования было установлено, что создателем RedVDS является группа Storm-2470. Все виртуальные машины были развёрнуты из одного клонированного образа Windows Server 2022, в результате чего все они имели одинаковое имя — WIN-BUNS25TD77J. Эта особенность значительно упростила процесс расследования.
Что касается физической инфраструктуры, RedVDS арендовал её у сторонних хостинг-провайдеров в США, Великобритании, Франции, Канаде, Нидерландах и Германии. Это позволяло злоумышленникам предоставлять клиентам IP-адреса, географически близкие к инфраструктуре жертв, и обходить региональные фильтры безопасности.
Клиенты RedVDS разместили на арендованных серверах разнообразное вредоносное программное обеспечение, включая инструменты для рассылки спама, сборщики электронных адресов, средства анонимизации и программы удалённого доступа.
Также известно, что серверы RedVDS использовались в атаках, направленных на кражу учётных данных, захват аккаунтов, а также в схемах по перенаправлению крупных денежных переводов. От этих действий пострадали как минимум 9000 человек в Канаде и Австралии.
В завершение специалисты Microsoft выявили, что киберпреступники активно применяли ChatGPT и аналогичные инструменты искусственного интеллекта для создания фишинговых рассылок, глубокфейков с заменой лиц и копирования голосов, чтобы имитировать авторитетные учреждения и публичных лиц.
Масштабы их операций были значительными: лишь клиентам Microsoft ежемесячно отправлялось порядка миллиона мошеннических писем.
Начиная с сентября 2025 года, злоумышленникам удалось нарушить безопасность свыше 191 тысячи организаций по всему миру, а реальное число жертв, несомненно, многократно выше.
«Ясно, что киберпреступное сообщество задействует все возможные средства для своих задач, и здесь сошлось целое «комбо»: инфраструктура для анонимизации, ИИ-инструменты для генерации фишинга и обширный набор вредоносных программ — поистине передовой подход, — комментирует Александр Зонов, специалист по кибербезопасности компании SEQ. — Вероятно, RedVDS уже не является исключительным случаем или скоро перестанет им быть».
Эксперт также отметил, что злоумышленники быстро адаптируются и вряд ли допустят повторную ошибку, используя единственный образ Windows Server для развертывания множества виртуальных машин.
В сентябре предыдущего года совместными действиями Cloudflare и Microsoft был обезврежен фишинговый сервис RaccoonO365, через который преступники похитили тысячи учетных данных для доступа к Microsoft 365.
