Компания Microsoft провела «скоординированную юридическую акцию» с целью разрушения киберпреступной инфраструктуры, известной как RedVDS. В операции принимали участие подразделение Microsoft Digital Crimes Unit, а также правоохранительные органы США и Великобритании. Результатом этих действий стала конфискация вредоносной инфраструктуры и отключение веб-сайта незаконного сервиса redvds[.]com. Стивен Масада, помощник главного юрисконсульта подразделения цифровых преступлений Microsoft, сыграл ключевую роль в организации противодействия этой угрозе. Объявление об успехе операции было сделано в среду.
Платформа RedVDS представляла собой сервис модели «Crimeware-as-a-Service» (преступное ПО как услуга), предлагавший дешевые одноразовые виртуальные компьютеры на базе Windows (RDP-серверы). Стоимость подписки начиналась всего от 24 долларов США в месяц, а оплата принималась в криптовалюте. Для продвижения услуг использовались снимки в Internet Archive, где сервис рекламировался как способ «повысить вашу продуктивность и работать из дома с комфортом и легкостью». Примечательно, что условия обслуживания формально запрещали незаконную деятельность, такую как фишинг или создание вредоносных программ, что было попыткой владельцев избежать юридической ответственности.
Пользователи получали доступ к многофункциональному интерфейсу с полным административным контролем и нелицензионным программным обеспечением. Главными преимуществами для преступников были отсутствие ограничений на использование и политика отсутствия журналов активности, что гарантировало анонимность. Платформа включала панель реселлера для создания субпользователей и Telegram-бота, позволявшего управлять серверами через приложение без необходимости входа на основной сайт. История сервиса берет начало в 2017 году, когда операции велись через Discord, ICQ и Telegram, а полноценный сайт был запущен в 2019 году.
Масштаб нанесенного ущерба оказался колоссальным. Согласно данным, отслеживаемым с марта 2025 года, только в Соединенных Штатах зарегистрированные убытки от мошенничества составили около 40 миллионов долларов США. Начиная с сентября 2025 года, более 191 000 организаций по всему миру подверглись компрометации или мошенническому доступу через эту инфраструктуру. Целью злоумышленников были компрометация деловой переписки (BEC), финансовое мошенничество, захват учетных записей и перевод средств на счета дропов.
За технической реализацией и поддержкой платформы стоял оператор, отслеживаемый Microsoft под кодовым именем Storm-2470. Серверы располагались в Канаде, США, Франции, Нидерландах, Германии, Сингапуре и Великобритании. Инфраструктура базировалась на нелицензионной версии Windows Server 2022 (конкретно использовалась лицензия «Eval 2022») и технологиях виртуализации Quick Emulator (QEMU) с драйверами VirtIO. Все хосты создавались путем клонирования единственного образа виртуальной машины, из-за чего все экземпляры имели одинаковое имя компьютера: WIN-BUNS25TD77J, и единый идентификатор, что позволяло разворачивать новые RDP-хосты за считанные минуты.
Услугами RedVDS пользовались различные группировки угроз, включая самого оператора Storm-2470, а также группы Storm-2227, Storm-1575 и Storm-1747. Среди клиентов были замечены фишинговые акторы, ранее использовавшие набор RaccoonO365, деятельность которого была пресечена в сентябре 2025 года. Атаки были направлены на секторы юриспруденции, строительства, производства, недвижимости, здравоохранения и образования. География жертв охватывала США, Канаду, Великобританию, Францию, Германию, Австралию и другие страны с развитой банковской инфраструктурой.
На серверах был обнаружен обширный арсенал инструментов для генеративного искусственного интеллекта. Преступники использовали технологии смены лиц (face-swapping), манипуляции видео и клонирования голоса для выдачи себя за других людей. Инструменты ChatGPT и OpenAI применялись для сбора разведывательных данных и создания убедительных мошеннических приманок. ИИ также помогал идентифицировать высокодоходные цели и генерировать реалистичные цепочки мультимедийных сообщений.
Для массовой рассылки спама и фишинга использовались программы SuperMailer, UltraMailer, BlueMail, SquadMailer и Email Sorter Pro/Ultimate. Сбор и проверка адресов осуществлялись через Sky Email Extractor. Для обеспечения безопасности операций (OPSEC) злоумышленники применяли браузеры Waterfox, Avast Secure Browser, Norton Private Browser, а также сервисы NordVPN и ExpressVPN. Удаленный доступ обеспечивался через AnyDesk, а для автоматизации рассылок использовался Microsoft Power Automate (Flow) в связке с Excel.
Изображение носит иллюстративный характер
Платформа RedVDS представляла собой сервис модели «Crimeware-as-a-Service» (преступное ПО как услуга), предлагавший дешевые одноразовые виртуальные компьютеры на базе Windows (RDP-серверы). Стоимость подписки начиналась всего от 24 долларов США в месяц, а оплата принималась в криптовалюте. Для продвижения услуг использовались снимки в Internet Archive, где сервис рекламировался как способ «повысить вашу продуктивность и работать из дома с комфортом и легкостью». Примечательно, что условия обслуживания формально запрещали незаконную деятельность, такую как фишинг или создание вредоносных программ, что было попыткой владельцев избежать юридической ответственности.
Пользователи получали доступ к многофункциональному интерфейсу с полным административным контролем и нелицензионным программным обеспечением. Главными преимуществами для преступников были отсутствие ограничений на использование и политика отсутствия журналов активности, что гарантировало анонимность. Платформа включала панель реселлера для создания субпользователей и Telegram-бота, позволявшего управлять серверами через приложение без необходимости входа на основной сайт. История сервиса берет начало в 2017 году, когда операции велись через Discord, ICQ и Telegram, а полноценный сайт был запущен в 2019 году.
Масштаб нанесенного ущерба оказался колоссальным. Согласно данным, отслеживаемым с марта 2025 года, только в Соединенных Штатах зарегистрированные убытки от мошенничества составили около 40 миллионов долларов США. Начиная с сентября 2025 года, более 191 000 организаций по всему миру подверглись компрометации или мошенническому доступу через эту инфраструктуру. Целью злоумышленников были компрометация деловой переписки (BEC), финансовое мошенничество, захват учетных записей и перевод средств на счета дропов.
За технической реализацией и поддержкой платформы стоял оператор, отслеживаемый Microsoft под кодовым именем Storm-2470. Серверы располагались в Канаде, США, Франции, Нидерландах, Германии, Сингапуре и Великобритании. Инфраструктура базировалась на нелицензионной версии Windows Server 2022 (конкретно использовалась лицензия «Eval 2022») и технологиях виртуализации Quick Emulator (QEMU) с драйверами VirtIO. Все хосты создавались путем клонирования единственного образа виртуальной машины, из-за чего все экземпляры имели одинаковое имя компьютера: WIN-BUNS25TD77J, и единый идентификатор, что позволяло разворачивать новые RDP-хосты за считанные минуты.
Услугами RedVDS пользовались различные группировки угроз, включая самого оператора Storm-2470, а также группы Storm-2227, Storm-1575 и Storm-1747. Среди клиентов были замечены фишинговые акторы, ранее использовавшие набор RaccoonO365, деятельность которого была пресечена в сентябре 2025 года. Атаки были направлены на секторы юриспруденции, строительства, производства, недвижимости, здравоохранения и образования. География жертв охватывала США, Канаду, Великобританию, Францию, Германию, Австралию и другие страны с развитой банковской инфраструктурой.
На серверах был обнаружен обширный арсенал инструментов для генеративного искусственного интеллекта. Преступники использовали технологии смены лиц (face-swapping), манипуляции видео и клонирования голоса для выдачи себя за других людей. Инструменты ChatGPT и OpenAI применялись для сбора разведывательных данных и создания убедительных мошеннических приманок. ИИ также помогал идентифицировать высокодоходные цели и генерировать реалистичные цепочки мультимедийных сообщений.
Для массовой рассылки спама и фишинга использовались программы SuperMailer, UltraMailer, BlueMail, SquadMailer и Email Sorter Pro/Ultimate. Сбор и проверка адресов осуществлялись через Sky Email Extractor. Для обеспечения безопасности операций (OPSEC) злоумышленники применяли браузеры Waterfox, Avast Secure Browser, Norton Private Browser, а также сервисы NordVPN и ExpressVPN. Удаленный доступ обеспечивался через AnyDesk, а для автоматизации рассылок использовался Microsoft Power Automate (Flow) в связке с Excel.
