Microsoft hat den beruechtigten Hostingdienst RedVDS gemeinsam mit Europol und Strafverfolgungsbehoerden aus den USA, Grossbritannien und Deutschland zerschlagen. Die Plattform diente ueber Jahre als Infrastruktur fuer Cyberkriminelle und war Ausgangspunkt fuer Angriffe mit einem dokumentierten Schaden von ueber 40 Millionen US‑Dollar allein in den USA. Die zugrunde liegende Serverinfrastruktur wurde beschlagnahmt, Marketplace und Kundenportal sind derzeit nicht mehr erreichbar.
RedVDS als Cybercrime-Infrastruktur: Virtuelle Server als Dienstleistung fuer Angreifer
RedVDS trat nach aussen wie ein normaler Anbieter fuer virtuelle Windows-Server auf, fungierte faktisch jedoch als „Infrastructure-as-a-Service fuer Cybercrime“. Fuer rund 24 US‑Dollar pro Monat erhielten Kunden vollwertige virtuelle Maschinen mit Administratorrechten und praktisch ohne Nutzungsrichtlinien – ein ideales Angebot fuer Phishing, Kontouebernahmen und Betrugsoperationen.
Der Dienst war seit 2019 aktiv und nutzte unter anderem die Domains redvds[.]com, redvds[.]pro und vdspanel[.]space. Microsoft ordnet mehrere bekannte Angreifergruppen – darunter Storm‑0259, Storm‑2227, Storm‑1575 und Storm‑1747 – dem Kundenstamm zu. Die Betreibergruppe selbst wird als Storm‑2470 gefuehrt, die Entwicklung und Betrieb der RedVDS-Infrastruktur verantwortet haben soll.
Ausmass der Schaeden: BEC-Betrug, Immobiliengeschäfte und tausende kompromittierte Organisationen
Mehrere reale Opfer schlossen sich der Klage von Microsoft an. So verlor die Pharmafirma H2‑Pharma aus Alabama durch eine BEC-Attacke (Business Email Compromise) rund 7,3 Millionen US‑Dollar. Die Vereinigung Gatehouse Dock in Florida wurde in einem Betrugsszenario mit manipulierten Ueberweisungen um fast 500.000 US‑Dollar gebracht. Aehnliche BEC-Faelle zaehlen laut dem FBI Internet Crime Complaint Center (IC3) seit Jahren zu den finanziell schaedigsten Cyberdelikten weltweit, mit Gesamtschaeden in Milliardenhoehe jaehrlich.
Ein weiterer Schwerpunkt der durch RedVDS unterstuetzten Kriminalitaet waren Immobilientransaktionen. Angreifer schleusten sich in die Kommunikation zwischen Banken, Maklern und Kauefern ein, aenderten dort unbemerkt Kontodaten und lenkten Zahlungen auf eigene Konten um. Laut Microsoft verloren dabei mehr als 9000 Kunden in Kanada und Australien zum Teil erhebliche Summen – ein typisches Muster professionell organisierter BEC- und Zahlungsumleitungsangriffe.
Phishing- und BEC-Kampagnen im industriellen Massstab
Die Betreiber von RedVDS steuerten laut Microsoft zeitweise ueber 2600 virtuelle Maschinen, von denen im Durchschnitt etwa eine Million Phishing-E-Mails pro Tag an Nutzerinnen und Nutzer von Microsoft-Diensten versandt wurden. Innerhalb von vier Monaten fuehrten diese Kampagnen zur Kompromittierung von nahezu 200.000 Microsoft-Konten.
Seit September 2025 wurden ueber RedVDS-Infrastruktur mehr als 191.000 Organisationen weltweit kompromittiert oder Ziel von betruegerischen Zugriffsversuchen. Microsoft geht davon aus, dass dies nur einen Ausschnitt der tatsaechlichen Betroffenheit abbildet – auch andere Studien, etwa der jaehrliche Verizon Data Breach Investigations Report oder Lagebilder der EU-Agentur ENISA, zeigen seit Jahren einen deutlichen Anstieg bei Phishing und BEC-Angriffen.
Technische Besonderheiten: Klon-Images, globale Hoster und schwer erkennbare Infrastruktur
Eine zentrale Spur im Rahmen der Ermittlungen der Microsoft Digital Crimes Unit war ein technisches Detail: Saemtliche virtuellen Maschinen von RedVDS basierten auf demselben geklonten Image von Windows Server 2022. Dadurch trugen alle Server dasselbe auffaellige Rechnernamensmuster: WIN‑BUNS25TD77J. Diese Konstanz fungierte als Indikator fuer eine gemeinsame Infrastruktur und ermoeglichte es Analysten, scheinbar getrennte Kampagnen demselben Hostingnetz zuzuordnen.
RedVDS betrieb keine eigenen Rechenzentren, sondern mietete Hardware bei Drittanbietern in den USA, Grossbritannien, Frankreich, Kanada, den Niederlanden und Deutschland. Angreifer konnten so IP-Adressen in unmittelbarer geografischer Naehe zu ihren Opfern waehlen, um Geo-Blocking sowie laenderbasierte Filterregeln zu umgehen. Diese Taktik erschwert die Erkennung von Anomalien, weil Verbindungen auf den ersten Blick wie legitime Zugriffe aus vertrauten Regionen wirken.
Angriffswerkzeuge, KI-Missbrauch und Bulletproof Hosting
Auf den gemieteten virtuellen Servern betrieben die Kriminellen ein breites Arsenal an Werkzeugen: Software fuer Massenmailings, E-Mail-PARSER zum Sammeln von Adressen, Anonymisierungsdienste, Bots zur Automatisierung von Angriffen sowie Remote-Access-Tools. Diese Infrastruktur bildete die Grundlage fuer gross angelegte Phishing-Kampagnen, Diebstahl von Zugangsdaten, Kontouebernahmen, BEC-Angriffe und Finanzbetrug.
Ein Teil der RedVDS-Kunden setzte gezielt Kuenstliche Intelligenz ein. Generative Modelle wie Chatbots wurden genutzt, um ueberzeugende Phishing-Texte und realistisch wirkende Geschaeftskorrespondenz zu erstellen. Andere Gruppen kombinierten dies mit Deepfake-Videos, Gesichtstausch und Stimmklonen, um Geschaeftsfuehrer, Partner oder Bankmitarbeitende zu imitieren. Sicherheitsbehoerden in Europa und Nordamerika weisen seit einiger Zeit darauf hin, dass solche KI-gestuetzten Social-Engineering-Angriffe die Pruefung der Echtheit von Zahlungsanweisungen deutlich erschweren.
Die Bezahlung der RedVDS-Dienste erfolgte ueberwiegend in Kryptowaehrungen, was in Kombination mit einer laxen Ueberwachung der Nutzung und dem flexiblen Standort der Server eine typische Bulletproof-Hosting-Struktur erzeugte: eine besonders widerstandsfaehige, schwer abzuschaltende Infrastruktur, die explizit fuer illegale Aktivitaeten optimiert ist.
Konsequenzen fuer Unternehmen: Wie sich Organisationen gegen aehnliche Plattformen schuetzen koennen
Der Fall RedVDS zeigt, wie guenstige und leicht zugaengliche Infrastruktur Cyberkriminalitaet auf ein globales Niveau skalieren kann. Fuer Unternehmen bedeutet dies, dass insbesondere E-Mail-Sicherheit, Finanzprozesse und remote Zugriff neu bewertet und gestaerkt werden muessen. BEC-Angriffe zielen nicht auf technische Schwachstellen, sondern auf menschliche Fehler und unzureichend definierte Freigabeprozesse.
Zu den zentralen Schutzmassnahmen gehoeren eine konsequente Multi-Faktor-Authentifizierung fuer alle kritischen Accounts, klar definierte und dokumentierte Prozesse zur Verifizierung von Zahlungsdaten ueber einen zweiten Kommunikationskanal (z. B. Rueckruf unter verifizierten Rufnummern), regelmaessige Awareness-Trainings zu Phishing und BEC-Szenarien sowie ein engmaschiges Monitoring fuer anomal angelegte Logins, etwa aus ungewohnten Geo-Standorten oder ueber verdachtige Proxys.
Unternehmen sollten zudem ihre Incident-Response-Faehigkeiten ausbauen, regelmaessige Sicherheits-Audits durchfuehren und Bedrohungsinformationen von Sicherheitsanbietern und Behoerden aktiv einbeziehen. Auch nach der Zerschlagung von RedVDS ist davon auszugehen, dass vergleichbare Bulletproof-Hosting-Angebote entstehen werden. Wer seine Prozesse, technischen Kontrollen und Schulungsprogramme jetzt strukturiert staerkt, reduziert das Risiko erheblich, Opfer der naechsten grossangelegten Kampagne zu werden.
