Microsoft объявила о закрытии RedVDS — крупного сервиса аренды виртуальных серверов, который на протяжении нескольких лет использовался как инфраструктура для киберпреступности. По оценкам компании, только в США ущерб от атак, проведённых с использованием RedVDS, превысил 40 млн долларов. В результате судебных исков в США и Великобритании, а также совместной операции с Европолом и правоохранительными органами Германии, инфраструктура RedVDS была изъята, а доступ к маркетплейсу и клиентскому порталу заблокирован.
Киберпреступный сервис RedVDS: что это было
Платформа RedVDS работала как коммерческий сервис аренды виртуальных серверов, но фактически выступала в роли “инфраструктуры как услуга” для киберпреступников. Всего за 24 доллара в месяц злоумышленники получали доступ к виртуальным машинам под управлением Windows с правами администратора и без каких-либо ограничений по сценариям использования.
Сервис действовал с 2019 года и использовал домены redvds[.]com, redvds[.]pro и vdspanel[.]space. По данным Microsoft, среди клиентов платформы были такие хак-группы, как Storm-0259, Storm-2227, Storm-1575 и Storm-1747. Управлением самой инфраструктуры занималась группировка Storm-2470, которую компания идентифицирует как разработчика и оператора RedVDS.
Масштабы ущерба и пострадавшие организации
В качестве соистцов к иску Microsoft присоединились реальные жертвы атак, проведённых с использованием RedVDS. Фармацевтическая компания H2-Pharma из Алабамы потеряла 7,3 млн долларов в результате BEC-атаки (Business Email Compromise — компрометация деловой переписки). Ассоциация Gatehouse Dock из Флориды лишилась почти 500 000 долларов в схеме мошенничества с переводом средств.
Отдельное направление злоупотреблений касалось сделок с недвижимостью. Серверы RedVDS использовались для перенаправления платежей в ходе сделок, что привело к серьёзным финансовым потерям более чем для 9000 клиентов в Канаде и Австралии. Подобные атаки хорошо известны специалистам по кибербезопасности: злоумышленники подменяют реквизиты для перевода, внедряясь в переписку между банками, агентами и клиентами.
BEC-атаки и фишинговые кампании на промышленном масштабе
По данным Microsoft, только за один месяц операторы RedVDS, контролировавшие свыше 2600 виртуальных машин, рассылали в среднем около 1 млн фишинговых писем в день пользователям сервисов Microsoft. За последние четыре месяца это привело к компрометации почти 200 000 аккаунтов компании.
С сентября 2025 года атаки, проводившиеся через RedVDS, стали причиной компрометации или мошеннического доступа более чем к 191 000 организаций по всему миру. При этом, по оценке Microsoft, эти цифры отражают лишь часть реально пострадавших аккаунтов и организаций.
Технические особенности инфраструктуры RedVDS
Расследование Microsoft Digital Crimes Unit выявило характерную техническую деталь: все виртуальные машины RedVDS создавались из одного клонированного образа Windows Server 2022. Из-за этого на каждом поднятом сервере было одно и то же имя компьютера — WIN-BUNS25TD77J. Такая аномалия стала ключевым индикатором, позволившим аналитикам связать отдельные вредоносные кампании с единой инфраструктурой RedVDS.
RedVDS не владел физическими серверами, а арендовал мощности у сторонних хостинг-провайдеров в США, Великобритании, Франции, Канаде, Нидерландах и Германии. Это давало злоумышленникам возможность выбирать IP-адреса, географически близкие к жертвам, и обходить геоблокировки и фильтрацию по странам, что значительно усложняло обнаружение и блокировку атак.
Какие атаки поддерживал RedVDS и как использовался ИИ
На арендованных виртуальных серверах клиенты RedVDS размещали широкий спектр инструментов: программы массовой рассылки, парсеры email-адресов, средства анонимизации, боты для автоматизации атак, а также ПО удалённого доступа. Через эту инфраструктуру проводились фишинговые кампании, кража учетных данных, взлом и захват аккаунтов, BEC-атаки и финансовое мошенничество.
Microsoft отмечает, что многие клиенты RedVDS активно применяли инструменты на базе искусственного интеллекта — в том числе генеративные модели вроде ChatGPT — для создания более убедительных фишинговых сообщений и шаблонов деловой переписки. Другие операторы атак использовали deepfake-видео, подмену лица и клонирование голоса для имитации руководителей компаний, контрагентов и представителей финансовых организаций. Это повышало эффективность социальной инженерии и затрудняло проверку подлинности запросов.
Оплата услуг RedVDS осуществлялась в криптовалюте, что позволяло клиентам сохранять высокий уровень анонимности. В совокупности анонимные платежи, гибкий выбор географии IP-адресов и слабый контроль за использованием ресурсов создавали типичную модель “bulletproof hosting” — устойчивой инфраструктуры, заточенной под киберпреступность.
Что это означает для бизнеса и как усилить защиту
История с RedVDS демонстрирует, как относительно недорогая и доступная инфраструктура может масштабировать киберпреступность до глобального уровня. Для организаций это сигнал к пересмотру подходов к защите, особенно в части электронной почты, финансовых процессов и удалённого доступа.
Практически важными мерами становятся многофакторная аутентификация, строгие процедуры верификации платёжных реквизитов по независимым каналам (телефон, защищённые мессенджеры), обучение сотрудников распознаванию фишинга и BEC-сценариев, а также мониторинг аномальной активности входа, в том числе из непривычных геолокаций или через подозрительные прокси.
Ликвидация RedVDS — значимый шаг в борьбе с киберпреступной инфраструктурой, однако подобные сервисы будут появляться и дальше. Комплексный подход к кибербезопасности, регулярный аудит ИТ-инфраструктуры и постоянное повышение осведомлённости сотрудников остаются ключевыми инструментами снижения рисков. Организациям стоит следить за публикациями правоохранительных органов и вендоров безопасности, обновлять средства защиты и проактивно выстраивать системы обнаружения и реагирования на инциденты, чтобы не стать следующей жертвой подобных платформ.
