Microsoft przejmuje serwery i rozbija RedVDS – jak działała abonamentowa platforma „cybercrime-as-a-service” - Security Bez Tabu

Microsoft przejmuje serwery i rozbija RedVDS – jak działała abonamentowa platforma „cybercrime-as-a-service”

Wprowadzenie do problemu / definicja luki

RedVDS nie był „kolejnym botnetem” ani pojedynczą grupą APT. To model biznesowy: tani, abonamentowy dostęp do jednorazowych maszyn Windows, które cyberprzestępcy wykorzystywali jako infrastrukturę do phishingu, BEC (Business Email Compromise), przejęć kont i oszustw finansowych. Microsoft opisuje RedVDS jako element rosnącego ekosystemu cybercrime-as-a-service, gdzie przestępcy kupują gotowe usługi, zamiast budować zaplecze samodzielnie.

Klucz: taka „hurtowa” infrastruktura obniża próg wejścia. Za kwoty rzędu 24 USD/mies. można było uruchamiać operacje na skalę masową, płacąc kryptowalutami i redukując ślady.

W skrócie

  • Microsoft ogłosił skoordynowane działania prawne w USA oraz – po raz pierwszy w tym typie sprawy – w Wielkiej Brytanii, równolegle z operacją z udziałem organów ścigania (w tym niemieckich) i Europolu.
  • Przejęto kluczową infrastrukturę i zajęto dwie domeny obsługujące marketplace oraz portal klientów RedVDS.
  • Microsoft wiąże RedVDS z ok. 40 mln USD zgłoszonych strat w USA od marca 2025.
  • W „zaledwie jednym miesiącu” ponad 2 600 maszyn RedVDS wysyłało średnio 1 mln phishingowych wiadomości dziennie do klientów Microsoftu.
  • Od września 2025 aktywność wspierana przez RedVDS miała prowadzić do kompromitacji lub oszukańczego dostępu do ponad 191 tys. organizacji globalnie.

Kontekst / historia / powiązania

Z perspektywy obrony (SOC/CSIRT) RedVDS wpisuje się w trend „industrializacji” cyberprzestępczości: atakujący specjalizują się w wąskich fragmentach łańcucha (dostęp, phishing, pranie pieniędzy, infrastruktura), a resztę kupują w modelu usługowym.

Według Microsoft Threat Intelligence RedVDS działał publicznie od 2019 r., oferując serwery w wielu lokalizacjach (m.in. USA, UK, Kanada, Francja, Holandia, Niemcy) i używał kilku domen (m.in. redvds[.]com, redvds[.]pro, vdspanel[.]space).

Microsoft przypisuje rozwój i operowanie marketplace’em aktorowi śledzonemu jako Storm-2470 oraz wskazuje, że z infrastruktury korzystało wiele innych podmiotów (np. Storm-0259 i inne „Stormy”), co sugeruje, że RedVDS był „multitenantem” dla przestępców finansowych, a nie narzędziem jednej kampanii.

W komunikacji Microsoftu przewija się też wątek AI-enabled fraud: RedVDS miał być często łączony z generatywną AI do szybszego typowania celów i tworzenia bardziej wiarygodnych wątków korespondencji, a w części przypadków również z narzędziami deepfake (zamiana twarzy, manipulacja wideo, klonowanie głosu).

Analiza techniczna / szczegóły luki

1) „Disposable Windows” jako produkt

Rdzeniem oferty były tanie serwery Windows dostępne przez RDP z pełnymi uprawnieniami administratora i bez limitów użycia. To idealne środowisko do:

  • masowego wysyłania phishingu (w tym obejścia reputacji źródeł),
  • hostowania stron/landingów, paneli i kitów phishingowych,
  • prowadzenia BEC i „payment diversion” (podmiana rachunków, zmiana danych do przelewu),
  • przejęć kont i dalszego poruszania się po organizacjach.

2) „Palec odcisku” infrastruktury – klonowany obraz Windows

Microsoft opisuje ciekawy aspekt obronny: wiele instancji było tworzonych z jednego, klonowanego obrazu Windows Server 2022, co pozostawiało wykrywalne, powtarzalne artefakty. Przykład: ten sam computer name: WIN-BUNS25TD77J, widoczny m.in. w certyfikatach RDP i telemetrii. Legalni dostawcy chmury zwykle losują/unikalizują takie identyfikatory – tu tego zabrakło.

3) Automatyzacja provisioningu

Operator miał stosować QEMU i sterowniki VirtIO do szybkiego generowania klonów na żądanie klienta. Mechanika była prosta: kopiowanie „master VM” bez poprawnego sysprep/unikalizacji tożsamości systemu, co przyspieszało dostarczanie i obniżało koszty, ale jednocześnie zostawiało spójne ślady.

4) Warstwa utrudniania atrybucji

RedVDS sprzedawano z płatnością w kryptowalutach (Microsoft wymienia m.in. Bitcoin, Litecoin oraz szeroką listę innych) i z narracją o „podmiocie” rzekomo podlegającym prawu Bahamów – klasyczny zabieg zwiększający tarcie dla egzekwowania prawa i identyfikacji operatorów.

Praktyczne konsekwencje / ryzyko

Dlaczego ta historia jest ważna także dla organizacji, które „nie widzą” RedVDS u siebie? Bo usługi tego typu zmieniają ekonomię ataku:

  1. Skalowanie – atakujący nie muszą inwestować w własne serwery/botnety. W komunikacie Microsoftu pada skala: w jeden miesiąc 2 600 maszyn i średnio 1 mln phishingów dziennie do samych klientów Microsoftu.
  2. Szybka rotacja infrastruktury – „jednorazowe” maszyny można porzucić po kampanii, co utrudnia korelację i blokowanie per-IP.
  3. Lepszy social engineering – połączenie hostowanej infrastruktury + generatywnej AI (a czasem deepfake) zwiększa skuteczność BEC, szczególnie przy zmianach danych płatniczych.
  4. Straty finansowe – Microsoft wskazuje ok. 40 mln USD zgłoszonych strat w USA od marca 2025, a przykłady ofiar obejmują m.in. podmiot farmaceutyczny i wspólnotę mieszkaniową.

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań „tu i teraz”, które sensownie adresują ten typ zagrożeń (nie tylko RedVDS):

Dla zespołów IT/SOC

  • Wzmocnij polityki SPF/DKIM/DMARC i egzekwuj je (quarantine/reject), a w M365 dopnij ochrony anty-spoofingowe – Microsoft wskazuje, że aktorzy wykorzystywali złożone scenariusze routingu i błędne konfiguracje ochron.
  • Poluj na artefakty RDP/telemetrii: jeśli masz telemetryczne możliwości EDR/XDR, rozważ detekcje oparte o wskazane przez Microsoft charakterystyki klonów (np. powtarzalne elementy połączeń RDP/certyfikatów, fingerprint hosta).
  • Kontrola egress + reputacja: nie opieraj blokad wyłącznie o statyczne listy IP – przy „disposable infra” potrzebujesz korelacji zachowań (nietypowe logowania, masowe wysyłki, anomalie w OAuth).
  • Włącz i wymuś MFA odporne na phishing (FIDO2/passkeys, auth-app z number matching) na kontach uprzywilejowanych i finansowych. BEC to gra o przejęcie skrzynki i manipulację płatnością.

Dla finansów, zakupów i operacji

  • Proces „out-of-band verification”: każda zmiana numeru rachunku/beneficjenta musi być potwierdzona innym kanałem (telefon na znany numer, wideoweryfikacja, portal dostawcy).
  • Dwustopniowa autoryzacja przelewów i limity kwotowe z dodatkowymi kontrolami dla „pierwszego przelewu na nowy rachunek”.
  • Szkolenia na BEC oparte o realne scenariusze (pilne faktury, zmiany rachunku, „CEO fraud”) – RedVDS był wykorzystywany właśnie do takich schematów.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

RedVDS warto zestawić z wcześniejszymi „takedownami” w modelu usługowym:

  • Phishing-as-a-Service vs Infrastructure-as-a-Service: przejęcie paneli/phishing kitów (PhaaS) ogranicza „narzędzie”, ale infrastruktura w stylu RedVDS to uniwersalny mnożnik – obsłuży phishing, BEC, hosting scamów i wiele innych działań naraz.
  • Wielu aktorów, jedna platforma: Microsoft wprost wskazuje, że z RedVDS korzystały różne „Stormy”, więc uderzenie w usługę ma szansę ograniczyć działalność całego ekosystemu klientów.
  • Legal + technika: kluczowy jest miks działań prawnych (USA i UK) oraz zajęć infrastruktury/domen, bo bez przejęcia marketplace’u i panelu klienta atakujący zwykle po prostu migrują.

Podsumowanie / kluczowe wnioski

Rozbicie RedVDS pokazuje, że współczesna cyberprzestępczość coraz częściej działa jak SaaS: tanio, masowo i z automatyzacją. Dla obrońców najważniejsze są dwa wnioski:

  1. Nie walczysz tylko z „atakującym”, ale z jego łańcuchem dostaw. Uderzenie w infrastrukturę-usługę może obniżyć tempo i skalę wielu kampanii naraz.
  2. BEC i phishing nie znikną po jednym takedownie. Trzeba domykać procesy (weryfikacja płatności) i technikę (MFA odporne na phishing, ochrona przed spoofingiem, detekcje anomalii).

Źródła / bibliografia

  1. Microsoft – Microsoft disrupts global cybercrime subscription service… (14 stycznia 2026) (The Official Microsoft Blog)
  2. Microsoft Threat Intelligence – Inside RedVDS: How a single virtual desktop provider fueled worldwide cybercriminal operations (14 stycznia 2026) (Microsoft)
  3. BleepingComputer – Microsoft seizes servers, disrupts massive RedVDS cybercrime platform (15 stycznia 2026) (BleepingComputer)
  4. Microsoft News (EMEA, DE) – komunikat prasowy dot. RedVDS (styczeń 2026) (Source)
  5. CyberScoop – kontekst współpracy z organami ścigania i Europolem (14 stycznia 2026) (CyberScoop)