Η Microsoft ανακοίνωσε την Τετάρτη ότι διέκοψε το RedVDS, μια τεράστια πλατφόρμα εγκλήματος στον κυβερνοχώρο που συνδέεται με τουλάχιστον 40 εκατομμύρια δολάρια σε αναφερόμενες ζημίες μόνο στις Ηνωμένες Πολιτείες από τον Μάρτιο του 2025.
Η Microsoft άσκησε αστικές αγωγές στις Ηνωμένες Πολιτείες και το Ηνωμένο Βασίλειο, κατασχέθηκαν κακόβουλες υποδομές και θέτοντας εκτός σύνδεσης την αγορά και την πύλη πελατών του RedVDS ως μέρος μιας ευρύτερης διεθνούς επιχείρησης με την Europol και τις γερμανικές αρχές.
Δύο συνενάγοντες προσχώρησαν στη Microsoft σε αυτήν την αγωγή: η H2-Pharma, μια φαρμακευτική εταιρεία στην Αλαμπάμα που έχασε 7,3 εκατομμύρια δολάρια σε ένα πρόγραμμα συμβιβασμού για επιχειρηματικά email και η Gatehouse Dock Condominium Association στη Φλόριντα, η οποία έχασε σχεδόν 500.000 δολάρια σε κεφάλαια κατοίκων.
“Για μόλις 24 $ το μήνα, το RedVDS παρέχει στους εγκληματίες πρόσβαση σε εικονικούς υπολογιστές μιας χρήσης που καθιστούν την απάτη φθηνή, επεκτάσιμη και δύσκολη στον εντοπισμό.” είπε ο Στίβεν Μασάνταβοηθός γενικός σύμβουλος στη Μονάδα Ψηφιακών Εγκλημάτων της Microsoft.
“Υπηρεσίες όπως αυτές έχουν γίνει αθόρυβα η κινητήρια δύναμη πίσω από τη σημερινή αύξηση του εγκλήματος που ενεργοποιείται από τον κυβερνοχώρο, δυναμώνοντας επιθέσεις που βλάπτουν άτομα, επιχειρήσεις και κοινότητες σε όλο τον κόσμο”.
Το RedVDS λειτουργεί ως πλατφόρμα διαδικτυακού εγκλήματος ως υπηρεσία από το 2019 (χρησιμοποιώντας το redvds[.]comredvds[.]pro και vdspanel[.]διαστημικούς τομείς), πουλάει πρόσβαση σε εικονικούς διακομιστές cloud των Windows με έλεγχο διαχειριστή και χωρίς όρια χρήσης σε πολλές ομάδες κυβερνοεγκληματιών, συμπεριλαμβανομένων των παραγόντων απειλών που παρακολουθούνται ως Storm-0259, Storm-2227, Storm-1575 και Storm-1747.
Η έρευνα της Microsoft βρέθηκε ότι ο προγραμματιστής και ο χειριστής του RedVDS (που παρακολουθείται ως Storm-2470) δημιούργησε όλες τις εικονικές μηχανές από μία μόνο κλωνοποιημένη εικόνα του Windows Server 2022. Αυτό άφησε ένα χαρακτηριστικό τεχνικό αποτύπωμα, με όλες τις περιπτώσεις να μοιράζονται το ίδιο όνομα υπολογιστή, WIN-BUNS25TD77J, μια ανωμαλία που βοήθησε τους ερευνητές να παρακολουθούν τις λειτουργίες της υπηρεσίας σε κακόβουλες καμπάνιες.
Το RedVDS ενοικίασε διακομιστές από τρίτους παρόχους φιλοξενίας στις Ηνωμένες Πολιτείες, το Ηνωμένο Βασίλειο, τη Γαλλία, τον Καναδά, την Ολλανδία και τη Γερμανία. Αυτό επέτρεψε στους εγκληματίες να παρέχουν διευθύνσεις IP γεωγραφικά κοντά σε στόχους και να αποφεύγουν εύκολα τα φίλτρα ασφαλείας βάσει τοποθεσίας.
Οι ερευνητές διαπίστωσαν ότι οι πελάτες του RedVDS ανέπτυξαν ένα ευρύ φάσμα κακόβουλου λογισμικού και κακόβουλων εργαλείων σε ενοικιαζόμενους διακομιστές, συμπεριλαμβανομένων βοηθητικών προγραμμάτων μαζικής αποστολής, μηχανών συγκομιδής διευθύνσεων email, εργαλείων απορρήτου και λογισμικού απομακρυσμένης πρόσβασης.
Η υπηρεσία επέτρεπε στους εγκληματίες να στέλνουν μαζικά μηνύματα ηλεκτρονικού ψαρέματος, να φιλοξενούν υποδομές απάτης και να διευκολύνουν προγράμματα απάτης, διατηρώντας παράλληλα την ανωνυμία τους μέσω πληρωμών σε κρυπτονομίσματα.
Οι διακομιστές RedVDS χρησιμοποιήθηκαν επίσης σε κλοπές διαπιστευτηρίων, εξαγορές λογαριασμών, επιθέσεις παραβίασης εταιρικών email (γνωστές και ως εκτροπή πληρωμών) και απάτες εκτροπής πληρωμών ακινήτων, με τις τελευταίες να έχουν ως αποτέλεσμα τεράστιες απώλειες για περισσότερους από 9.000 πελάτες σε Καναδά και Αυστραλία.
Η Microsoft διαπίστωσε ότι πολλοί από τους πελάτες του RedVDS έχουν χρησιμοποιήσει επίσης εργαλεία τεχνητής νοημοσύνης, συμπεριλαμβανομένου του ChatGPT, στις επιθέσεις τους για να δημιουργήσουν πιο πειστικά μηνύματα ηλεκτρονικού ψαρέματος, ενώ άλλοι χρησιμοποίησαν αντικατάσταση προσώπων, χειραγώγηση βίντεο και κλωνοποίηση φωνής για να μιμηθούν διάφορους αξιόπιστους οργανισμούς και άτομα.
Σε μόλις ένα μήνα, οι κυβερνοεγκληματίες που έλεγχαν περισσότερες από 2.600 εικονικές μηχανές RedVDS έστελναν κατά μέσο όρο 1 εκατομμύριο μηνύματα ηλεκτρονικού ψαρέματος την ημέρα μόνο σε πελάτες της Microsoft. Αυτό τους επέτρεψε να παραβιάσουν σχεδόν 200.000 λογαριασμούς Microsoft κατά τους τελευταίους τέσσερις μήνες.
“Από τον Σεπτέμβριο του 2025, οι επιθέσεις με δυνατότητα RedVDS οδήγησαν σε παραβίαση ή δόλια πρόσβαση περισσότερων από 191.000 οργανισμών σε όλο τον κόσμο. Αυτά τα στοιχεία αντιπροσωπεύουν μόνο ένα υποσύνολο των επηρεαζόμενων λογαριασμών σε όλους τους παρόχους τεχνολογίας, δείχνοντας πόσο γρήγορα αυτή η υποδομή αυξάνει την κλίμακα των επιθέσεων στον κυβερνοχώρο.”
«Αυτά τα στοιχεία αντιπροσωπεύουν μόνο ένα υποσύνολο των επηρεαζόμενων λογαριασμών σε όλους τους παρόχους τεχνολογίας, δείχνοντας πόσο γρήγορα αυτή η υποδομή αυξάνει την κλίμακα των κυβερνοεπιθέσεων».
Τον Σεπτέμβριο, σε συντονισμό με το Cloudflare, η Μονάδα Ψηφιακών Εγκλημάτων (DCU) της Microsoft διέκοψε επίσης το RaccoonO365, μια τεράστια επιχείρηση Phishing-as-a-Service (PhaaS) που βοήθησε τους εγκληματίες του κυβερνοχώρου να κλέψουν χιλιάδες διαπιστευτήρια του Microsoft 365.
Καθώς το MCP (Model Context Protocol) γίνεται το πρότυπο για τη σύνδεση LLM με εργαλεία και δεδομένα, οι ομάδες ασφαλείας προχωρούν γρήγορα για να διατηρήσουν αυτές τις νέες υπηρεσίες ασφαλείς.
Αυτό το δωρεάν φύλλο εξαπάτησης περιγράφει 7 βέλτιστες πρακτικές που μπορείτε να αρχίσετε να χρησιμοποιείτε σήμερα.
VIA: bleepingcomputer.com
