За последний год специалисты Microsoft Threat Intelligence зафиксировали распространение сервиса RedVDS, который использовался многочисленными финансово мотивированными киберпреступниками для атак. Этот криминальный маркетплейс продавал незаконное программное обеспечение и услуги, способствуя компрометации корпоративной почты (BEC), массовому фишингу, захвату учетных записей и финансовому мошенничеству.
Описание
Расследование Microsoft выявило глобальную сеть злоумышленников, которые использовали инфраструктуру RedVDS для атак на юридические, строительные, производственные компании, а также на секторы недвижимости, здравоохранения и образования в США, Канаде, Великобритании, Франции, Германии, Австралии и других странах. Недавно, в сотрудничестве с правоохранительными органами по всему миру, подразделение Microsoft по борьбе с цифровыми преступлениями (Digital Crimes Unit, DCU) организовало ликвидацию инфраструктуры RedVDS и связанных с ней операций.
По данным Microsoft, угроза, обозначаемая как Storm-2470, разработала и управляла сервисом RedVDS. Этот маркетплейс, работавший с 2019 года, предлагал простой и функциональный интерфейс для покупки нелицензионных и дешевых Windows-серверов с удаленным доступом по протоколу RDP (Remote Desktop Protocol). Клиенты получали полный административный контроль без ограничений по использованию, что активно эксплуатировалось киберпреступниками. Исследование показало, что для всех серверов использовался один клонированный образ Windows-хоста, что оставляло уникальные цифровые отпечатки для обнаружения.
Сервис позиционировал себя как компания, регулируемая законами Багамских островов, что было фикцией. Оплата услуг принималась только в криптовалюте, в основном Bitcoin и Litecoin, что добавляло уровень скрытности для незаконной деятельности. Масштаб операций, обеспеченных инфраструктурой RedVDS, оказался значительным. Только в США с марта 2025 года ущерб от мошенничеств, связанных с этой платформой, оценивается примерно в 40 миллионов долларов. Это подчеркивает угрозу со стороны подобной скрытой инфраструктуры, предоставляющей киберпреступникам масштабируемость и простоту доступа к целевым сетям.
Технический анализ Microsoft раскрыл детали работы RedVDS. Все виртуальные серверы генерировались из единого образа Windows Server 2022. Все обнаруженные экземпляры использовали одинаковое имя компьютера - WIN-BUNS25TD77J. Этот аномальный признак, проявляющийся в сертификатах RDP и системной телеметрии, стал ключевым индикатором активности RedVDS. Для быстрого развертывания клонов оператор использовал виртуализацию Quick Emulator (QEMU). При заказе сервера автоматизированный процесс копировал мастер-образ на новый хост, что позволяло поднимать новые RDP-серверы за считанные минуты.
RedVDS не владел физическими дата-центрами, а арендовал серверы у сторонних хостинг-провайдеров в США, Канаде, Великобритании, Франции и Нидерландах. Такое распределение позволяло злоумышленникам получать IP-адреса в географической близости от целей, обходя фильтры безопасности, основанные на геолокации. После предоставления сервера киберпреступники развертывали на нем стандартный набор инструментов для вредоносной деятельности. В него входили утилиты для массовой рассылки писем, инструменты для сбора email-адресов, средства обеспечения операционной безопасности (OPSEC), включая VPN-клиенты и приватные браузеры, а также ПО для удаленного доступа, такое как AnyDesk.
Атаки с использованием RedVDS следовали четкой цепочке. Сначала проводилась разведка для сбора информации о целях. Затем на арендованных серверах развертывалась фишинг-инфраструктура, включая наборы для фишинга и средства автоматизации рассылки. После успешной фишинг-атаки и кражи учетных данных злоумышленники получали доступ к почтовым ящикам жертв. Критическим этапом было создание инфраструктуры для имперсонации: регистрация доменов-гомоглифов, внешне неотличимых от легитимных. Это позволяло преступникам встраиваться в доверенную переписку и инициировать мошеннические платежи под видом партнеров или коллег.
Основными типами атак, использующих RedVDS, были массовый фишинг, атаки методом распыления паролей (password spray), спуфинг-фишинг и компрометация корпоративной почты с захватом учетных записей. Microsoft отмечает, что организации в секторах права, строительства, производства, недвижимости, здравоохранения и образования подвергались наибольшему риску, однако подобные атаки могут затронуть любой бизнес.
Для защиты от угроз, связанных с подобными инфраструктурами, Microsoft рекомендует комплексный подход. Ключевые меры включают настройку и мониторинг защитных решений для почты, таких как Microsoft Defender для Office 365, и обязательное внедрение многофакторной аутентификации (MFA), предпочтительно на основе паролей (passkeys). Не менее важны регулярное обучение сотрудников по распознаванию фишинга и социальной инженерии, а также технические меры: разделение привилегированных и пользовательских учетных записей, проверка отправителей перед взаимодействием с вложениями и настройка политик безопасности электронной почты для предотвращения спуфинга. Ликвидация RedVDS является значительным ударом по криминальной экосистеме, однако устойчивая защита требует постоянной бдительности и внедрения базовых принципов кибергигиены.
Индикаторы компрометации
Domains
- redvds.com
- redvds.pro
- redvdspanel.space
URLs
- https://rd.redvds.com
