Судові позови Microsoft у США та Великій Британії, а також спільна операція з Європолом і правоохоронними органами Німеччини поставили крапку в роботі сервісу RedVDS — великого постачальника віртуальних серверів, який перетворився на одну з ключових платформ для кіберзлочинності. За оцінками компанії, лише в США збитки від атак, що використовували інфраструктуру RedVDS, перевищили 40 млн доларів, не враховуючи непрямі втрати та репутаційні ризики для бізнесу.
RedVDS як кіберзлочинна «інфраструктура як послуга»
Формально RedVDS позиціонувався як сервіс оренди віртуальних серверів, але фактично працював у моделі “infrastructure-as-a-service” для кіберзлочинців. За приблизно 24 долари на місяць зловмисники отримували повний адміністративний доступ до віртуальних машин на базі Windows без обмежень щодо сценаріїв використання, що ідеально підходило для фішингу, BEC-атаки та інших типів шахрайства.
Платформа функціонувала щонайменше з 2019 року, використовуючи домени redvds[.]com, redvds[.]pro та vdspanel[.]space. За даними Microsoft, клієнтами RedVDS були відомі кіберзлочинні групи Storm-0259, Storm-2227, Storm-1575 та Storm-1747. Керування всією інфраструктурою здійснювала група Storm-2470, яку Microsoft ідентифікує як розробника й оператора сервісу.
Фінансові втрати: BEC-атаки, шахрайство з нерухомістю та масовий фішинг
До позову проти RedVDS приєдналися реальні постраждалі організації. Фармацевтична компанія H2-Pharma з Алабами втратила близько 7,3 млн доларів унаслідок BEC-атаки (Business Email Compromise — компрометація ділової переписки), коли зловмисники перехопили листування та змінили платіжні реквізити. Некомерційна асоціація Gatehouse Dock з Флориди позбулася майже 500 000 доларів через схему шахрайського переказу коштів.
Окремий вектор зловживань стосувався операцій з нерухомістю. Інфраструктура RedVDS використовувалася для підміни платіжних реквізитів у процесі угод, що призвело до суттєвих фінансових втрат більш ніж для 9000 клієнтів у Канаді та Австралії. Типовий сценарій: кіберзлочинці вбудовуються в email-ланцюжок між банком, агентом і покупцем та непомітно змінюють рахунок для переказу.
Масштабні фішингові кампанії та компрометація бізнес-акаунтів
За інформацією Microsoft, оператори RedVDS, контролюючи понад 2600 віртуальних машин, щодня розсилали в середньому близько 1 млн фішингових листів користувачам сервісів компанії. Лише за останні чотири місяці через цю інфраструктуру було скомпрометовано майже 200 000 облікових записів Microsoft.
З вересня 2025 року атаки, що запускалися з RedVDS, призвели до компрометації чи шахрайського доступу більш ніж до 191 000 організацій по всьому світу. У Microsoft підкреслюють, що ці цифри відображають лише ідентифіковану частину інцидентів, а реальний масштаб може бути значно більшим.
Технічні маркери RedVDS та географічна гнучкість
Розслідування Microsoft Digital Crimes Unit виявило унікальну технічну ознаку: усі віртуальні машини RedVDS створювалися з єдиного клону Windows Server 2022. У результаті кожен сервер мав однакове ім’я хоста — WIN-BUNS25TD77J. Ця нетипова повторюваність стала ключовим індикатором, що дозволив аналітикам об’єднати на перший погляд розрізнені шкідливі кампанії в єдину інфраструктуру RedVDS.
При цьому RedVDS не володів власним «залізом», а орендував фізичні сервери у сторонніх хостинг-провайдерів у США, Великій Британії, Франції, Канаді, Нідерландах та Німеччині. Така модель давала можливість обирати IP-адреси, географічно близькі до жертв, обходити геофільтрацію й ускладнювати виявлення атак традиційними засобами захисту.
Атаки, що підтримував RedVDS, та роль штучного інтелекту
На орендованих серверах клієнти RedVDS розгортали інструменти масової розсилки, парсери email-адрес, засоби анонімізації трафіку, ботів для автоматизації атак і ПЗ віддаленого доступу. Через цю інфраструктуру виконувалися фішингові кампанії, крадіжка облікових даних, захоплення акаунтів, BEC-атаки та масштабне фінансове шахрайство.
Microsoft відзначає, що значна частина клієнтів RedVDS використовувала інструменти на базі штучного інтелекту, включно з генеративними моделями на кшталт ChatGPT, для створення правдоподібних фішингових листів, бізнес-листування та сценаріїв соціальної інженерії. Інші зловмисники застосовували deepfake-відео, підміну обличчя та клонування голосу для імітації керівників компаній, контрагентів чи представників фінансових установ, підвищуючи ефективність атак і ускладнюючи перевірку легітимності запитів.
Оплата послуг RedVDS відбувалася виключно в криптовалюті, що забезпечувало високий рівень анонімності клієнтів. У поєднанні з гнучким вибором локації IP-адрес і відсутністю реального контролю за тим, як використовуються ресурси, RedVDS фактично був прикладом “bulletproof hosting” — хостингу, стійкого до блокувань та орієнтованого на підтримку кіберзлочинної активності.
Історія RedVDS наочно демонструє, як відносно дешевий та доступний сервіс оренди серверів може масштабувати кіберзлочинність до глобального рівня. Для бізнесу це сигнал до посилення захисту електронної пошти, фінансових процесів та систем віддаленого доступу. Критично важливо впровадити багатофакторну автентифікацію для всіх привілейованих і фінансово чутливих акаунтів, жорсткі процедури верифікації платіжних реквізитів через незалежні канали (телефонні дзвінки, захищені месенджери), регулярне навчання співробітників виявленню фішингу та BEC-сценаріїв, а також моніторинг аномальної активності входу — з нетипових геолокацій, через підозрілі проксі або з невластивих пристроїв. Організаціям варто проактивно будувати системи виявлення та реагування на інциденти, стежити за попередженнями правоохоронців і виробників рішень з кібербезпеки, оновлювати засоби захисту та проводити регулярний аудит ІТ-інфраструктури, аби не стати наступною ціллю подібних «bulletproof» платформ.
