Microsoft обяви неутрализирането на платформата RedVDS, която от 2019 година

Microsoft разгласи неутрализирането на платформата RedVDS, която от 2019 година предоставяше на киберпрестъпниците достъп до отдалечени виртуални машини. Тези запаси са били употребявани за огромни фишинг акции по имейл, кражба на удостоверения и финансови измами, което в последна сметка е довело до загуби за над 40 млн. $ единствено в Съединени американски щати.

RedVDS представляваше абонаментна услуга, при която против 24 $ на месец нападателите получаваха цялостен достъп до отдалечени компютри с авансово конфигуриран нелицензиран програмен продукт, в това число Windows. Тези машини са били употребявани за изпращане на подправени имейли, хостване на лъжлива инфраструктура и следене на преписка в непознати пощенски кутии.

В пиковите месеци Microsoft е засичала над 2600 виртуални машини, които изпращат приблизително по един милион фишинг имейла дневно. Въпреки филтрите някои от известията са достигнали до получателите си, което е довело до компрометирането на повече от 191 000 акаунта в над 130 000 организации по света.

Платформата е била интензивно употребена в схеми, включващи замяна на платежни данни, изключително при покупко-продажби с недвижими парцели. Измамниците са прихващали кореспонденцията, подправяли са я точни преди преводите и са пренасочвали парите към своите сметки. Според Microsoft дейностите на RedVDS са нанесли съществени вреди на повече от 9000 клиенти в бранша на недвижимите парцели, изключително в Канада и Австралия. Засегнати са били също браншове като логистика, опазване на здравето, строителство, обучение и други.

Интерфейс на RedVDS

Microsoft, взаимно с Европол и немските правоприлагащи органи, организира интервенция за блокиране на домейните, посредством които е функционирала RedVDS и за идентифициране на забърканите лица. Сървърът, който е захранвал платформата е конфискуван от немската полиция. Въпреки че имената на забърканите лица не бяха разкрити, знае се, че услугата е функционирала посредством подставено сдружение, за което се твърди, че е записано на Бахамските острови, а заплащанията са били в криптовалута.

Престъпниците са наемали сървъри от трети страни – снабдители на хостинг услуги в Съединените щати, Канада, Обединеното кралство, Франция и Нидерландия, което им е разрешавало да нападат цели от IP адреси, които са били допустимо най-близки до действителното географско местонахождение на жертвите. Този метод е оказал помощ да се заобиколят филтрите за сигурност, основани на геолокацията.

Инфраструктура на RedVDS

Microsoft също по този начин откри, че RedVDS е бил употребен за разпространяване на злонамерени PDF и HTML атачмънти, за основаване на фишинг уеб сайтове, които имитират законни платформи, и за добиване на токени и бисквитки за заобикаляне на двуфакторно засвидетелствуване.

Нападателите употребявали откраднатите данни, с цел да търсят в кореспонденцията разисквания на фактури и контракти, да се вграждат в такива разговори и да пренасочват пари. Те постоянно употребявали принадлежности с изкуствен интелект, в това число ChatGPT, с цел да генерират правдоподобни имейли на британски език.