Сервис RedVDS предоставлял киберпреступникам доступ к одноразовым виртуальным компьютерам, что помогало им заметать следы. Самому сервису спрятаться не удалось.

Нейтрализован крупный киберкриминальный сервис RedVDS

Специалисты корпорации Microsoft нейтрализовали массивный киберкриминальный сервис RedVDS, которым активно пользовались кибермошенники со всего мира.

RedVDS представлял собой платформу разновидности «киберкриминал-как-услуга», запущенную в 2019 году. Его операторы сдавали в аренду доступ к виртуальным облачным серверам Windows с административным контролем и без ограничений на использование. За $24 в месяц мошенники получали в своё распоряжение одноразовые виртуальные компьютеры для проведения атак. В результате отследить источник этих атак было практически невозможно.

Нейросеть «Кандинский»

Только с марта 2025 года BEC-атаки со стороны клиентов RedVDS нанесли ущерба на сумму около $40 млн. Истинные масштабы могут быть куда больше, поскольку не все жертвы готовы сообщать о них в полицию.

Microsoft подала гражданские иски в США и Великобритании против RedVDS и, при поддержке Европола, перехватила контроль над инфраструктурой сервиса, отключив и его маркет, и клиентский портал.

Соистцами выступили фармацевтическая компания H2-Pharma из Алабамы, которая потеряла $7,3 млн в результате действий мошенников, и флоридская компания Gatehouse Dock Condominium Association, лишившаяся $500 тыс.

Один лишь образ

Расследование показало, что создателем RedVDS выступила группировка Storm-2470. Все виртуальные машины были созданы из одного склонированного образа Windows Server 2022, в результате чего все они фигурировали под одним и тем же наименованием - WIN-BUNS25TD77J. Эта аномалия существенно облегчила расследование.

Что касается физической инфраструктуры, то RedVDS арендовал её у сторонних хостинг-провайдеров в США, Великобритании, Франции, Канаде, Нидерландах и Германии. Это позволило злоумышленникам выдавать клиентам IP-адреса, расположенные в тех же регионах, что и инфраструктуры жертв, и обходить географические фильтры безопасности.

Клиенты RedVDS в итоге разместили на арендованных серверах множество вредоносного ПО, в том числе спам-утилиты, средства сбора почтовых адресов, анонимайзеры и инструменты удалённого доступа.

Известно также, что серверы RedVDS использовались в ходе атак, нацеленных на кражу реквизитов доступа, захват аккаунтов, а также в схемах с перенаправлением крупных сумм денег. От этих действий пострадали не менее 9000 человек в Канаде и Австралии.

В довершение всего исследователи Microsoft обнаружили, что злоумышленники активно использовали ChatGPT и другие ИИ-инструменты для написания фишинговых писем, подмены лиц на видео и клонирование голоса, чтобы выдавать себя за различные доверенные организации и известных персоналий.

Активность злоумышленников была весьма высокой: только клиентам Microsoft они направляли в среднем около 1 млн фишинговых писем в месяц.

С сентября 2025 года злоумышленники смогли скомпрометировать более чем 191 тысячу организаций по всему миру, но общее количество пострадавших, очевидно, в разы больше.

«Очевидно, что киберкриминальная индустрия использует любые доступные инструменты для достижения своих целей, и в данном случае собралось целое «комбо»: инфраструктура анонимизации, ИИ-инструменты для составления фишинговых сообщений, и целый арсенал вредоносов, - самый что ни на есть прогрессивный подход, - отмечает Александр Зонов, эксперт по информационной безопасности компании SEQ. - Скорее всего, RedVDS уже не уникальное явление или скоро перестанет быть таковым».

Эксперт добавил, что киберкриминал быстро учится и вряд ли повторит ошибку с использованием всего лишь одного образа Windows Server для развёртывания множества виртуальных машин.

