Смерть RedVDS. Microsoft хладнокровно вырезала главную опухоль даркнета

Компания Microsoft объявила о нейтрализации платформы RedVDS, которая с 2019 года предоставляла киберпреступникам доступ к удалённым виртуальным машинам. Эти ресурсы использовались для масштабного распространения фишинговых писем, кражи учётных данных и финансовых махинаций, что в конечном итоге привело к убыткам свыше 40 млн долларов только в США.

RedVDS представлял собой сервис по подписке, где злоумышленники за 24 доллара в месяц получали полный доступ к удалённым компьютерам с предустановленным нелицензионным программным обеспечением, включая Windows. Через эти машины рассылались поддельные письма, размещалась мошенническая инфраструктура и осуществлялось слежение за перепиской в чужих почтовых ящиках.

В пиковые месяцы Microsoft фиксировала активность более 2,6 тыс. виртуальных машин, отправлявших в среднем по миллиону фишинговых писем в день. Несмотря на фильтры, часть сообщений доходила до получателей, что стало причиной компрометации более 191 тыс. учётных записей в более чем 130 тыс. организаций по всему миру.

Платформа активно использовалась в схемах с подменой платёжных реквизитов, особенно в сделках с недвижимостью. Мошенники перехватывали переписку, вмешивались в неё перед переводами и перенаправляли деньги на свои счета. По данным Microsoft, деятельность RedVDS нанесла серьёзный ущерб более чем 9 тыс. клиентам в сфере недвижимости, особенно в Канаде и Австралии. Также были затронуты логистика, здравоохранение, строительство, образование и другие отрасли.

Среди пострадавших оказались американская фармацевтическая компания H2 Pharma, потерявшая более 7,3 млн долларов, и жилищная ассоциация из Флориды, лишившаяся около 500 тыс. долларов, собранных жильцами на ремонт. Обе организации выступили соистцами в гражданских исках Microsoft, поданных в США и Великобритании.

Microsoft, совместно с Европолом и немецкими правоохранительными органами, провела операцию по блокировке доменов, через которые управлялся RedVDS, и идентификации причастных. Сервер, обеспечивавший работу платформы, был изъят немецкой полицией. Хотя имена фигурантов не раскрываются, известно, что сервис действовал через подставную компанию, якобы зарегистрированную на Багамах, а платежи принимались в криптовалюте.

Преступники арендовали серверы у сторонних хостинг-провайдеров в США, Канаде, Великобритании, Франции и Нидерландах, что позволяло атаковать цели с IP-адресов, максимально приближённых к реальному географическому положению жертв. Такой подход помогал обходить геолокационные фильтры безопасности.

Microsoft также выявила, что через RedVDS распространялись вредоносные вложения в формате PDF и HTML, создавались фишинговые сайты, имитирующие легитимные платформы, а также извлекались токены и cookies для обхода двухфакторной аутентификации. Злоумышленники использовали украденные данные для поиска в переписке обсуждений счетов и контрактов, встраивались в такие диалоги и перенаправляли деньги. Для генерации правдоподобных писем на английском языке они нередко прибегали к инструментам искусственного интеллекта, в том числе ChatGPT.

За месяц Microsoft зафиксировала более 7,3 тыс. IP-адресов, связанных с инфраструктурой RedVDS, и свыше 3,7 тыс. доменов, предназначенных для фишинга. Эта операция стала уже 35-й по счёту инициативой Microsoft по блокировке киберпреступной инфраструктуры. Ранее в 2025 году компания ликвидировала сервис RaccoonO365, также применявшийся для кражи учётных данных. Многие участники того проекта оказались активными пользователями RedVDS.