Microsoft прекращает работу масштабного сервиса виртуальных рабочих столов RedVDS, используемого киберпреступниками

В среду компания Microsoft объявила о ликвидации RedVDS — крупной платформы для киберпреступлений, из-за которой только в США с марта 2025 года было зарегистрировано убытков на сумму не менее 40 миллионов долларов.

Компания Microsoft подала гражданские иски в США и Великобритании, конфисковав вредоносную инфраструктуру и отключив торговую площадку и клиентский портал RedVDS в рамках более масштабной международной операции, проведенной совместно с Европолом и властями Германии.

К Microsoft в этом иске присоединились два соистца: H2-Pharma, фармацевтическая компания из Алабамы, которая потеряла 7,3 миллиона долларов из-за компрометации корпоративной электронной почты, и Ассоциация кондоминиумов Gatehouse Dock во Флориде, которая потеряла почти 500 000 долларов из средств жильцов.

«Всего за 24 доллара в месяц RedVDS предоставляет преступникам доступ к одноразовым виртуальным компьютерам, которые делают мошенничество дешевым, масштабируемым и трудно отслеживаемым», — сказал Стивен Масада, помощник главного юрисконсульта отдела по борьбе с цифровыми преступлениями Microsoft.

«Подобные сервисы незаметно стали движущей силой современного всплеска киберпреступности, подпитывая атаки, которые наносят ущерб частным лицам, компаниям и сообществам по всему миру».

Сайт RedVDS

​RedVDS с 2019 года работала как платформа для киберпреступлений по принципу «киберпреступление как услуга» (с использованием доменов redvds[.]com, redvds[.]pro и vdspanel[.]space), продавая доступ к виртуальным облачным серверам Windows с правами администратора и без ограничений по использованию нескольким группам киберпреступников, в том числе субъектам угроз, отслеживаемым как Storm-0259, Storm-2227, Storm-1575 и Storm-1747.

Расследование Microsoft показало, что разработчик и оператор RedVDS (отслеживаемый как Storm-2470) создали все виртуальные машины на основе одного клонированного образа Windows Server 2022. Это оставило характерный технический след: все экземпляры имели одно и то же имя компьютера — WIN-BUNS25TD77J. Эта аномалия помогла исследователям отследить операции сервиса в рамках вредоносных кампаний.

RedVDS арендовала серверы у сторонних хостинг-провайдеров в США, Великобритании, Франции, Канаде, Нидерландах и Германии. Это позволяло преступникам использовать IP-адреса, географически близкие к объектам атаки, и легко обходить фильтры безопасности, основанные на местоположении.

Исследователи обнаружили, что клиенты RedVDS устанавливали на арендованных серверах широкий спектр вредоносных программ и инструментов, в том числе утилиты для массовой рассылки, сборщики адресов электронной почты, инструменты для обеспечения конфиденциальности и программное обеспечение для удалённого доступа.

Сервис позволял преступникам рассылать массовые фишинговые письма, размещать мошенническую инфраструктуру и содействовать мошенническим схемам, сохраняя анонимность благодаря криптовалютным платежам.

Серверы RedVDS также использовались для кражи учётных данных, захвата аккаунтов, компрометации корпоративной электронной почты (также известной как перенаправление платежей) и мошенничества с перенаправлением платежей за недвижимость. Последнее привело к огромным убыткам для более чем 9000 клиентов в Канаде и Австралии.

Инфраструктура RedVDS (Microsoft)

Компания Microsoft обнаружила, что многие клиенты RedVDS также использовали инструменты искусственного интеллекта, в том числе ChatGPT, для создания более убедительных фишинговых писем, а другие применяли подмену лиц, манипуляции с видео и клонирование голоса, чтобы выдавать себя за различные надёжные организации и частных лиц.

Всего за месяц киберпреступники, контролировавшие более 2600 виртуальных машин RedVDS, отправляли в среднем по 1 миллиону фишинговых сообщений в день только клиентам Microsoft. Это позволило им за последние четыре месяца взломать почти 200 000 учётных записей Microsoft.

«С сентября 2025 года атаки с использованием RedVDS привели к компрометации или мошенническому получению доступа более чем к 191 000 организаций по всему миру. Эти цифры отражают лишь часть затронутых учётных записей всех поставщиков технологий и показывают, насколько быстро эта инфраструктура увеличивает масштабы кибератак», — добавили в Masada.

«Эти цифры отражают лишь часть затронутых аккаунтов у всех поставщиков технологий и показывают, насколько быстро эта инфраструктура увеличивает масштабы кибератак».

В сентябре подразделение Microsoft по борьбе с цифровыми преступлениями (Digital Crimes Unit, DCU) совместно с Cloudflare также пресекло деятельность RaccoonO365 — масштабной операции по фишингу как услуге (PhaaS), которая помогла киберпреступникам украсть тысячи учётных данных Microsoft 365.

Редактор: AndreyEx