Microsoft anunció el miércoles que ha emprendido «medidas legales coordinadas» en Estados Unidos y el Reino Unido para interrumpir un servicio de suscripción de delitos cibernéticos llamado RedVDS que se dice que ha causado pérdidas millonarias por fraude.
El gigante tecnológico dijo que el esfuerzo era parte de una operación policial más amplia en colaboración con las autoridades policiales que le permitió apoderarse de infraestructura maliciosa y desconectar su servicio ilegal (redvds(.)com).
«Por sólo $24 al mes, RedVDS proporciona a los delincuentes acceso a una computadora virtual desechable, lo que hace que el fraude sea más barato, más escalable y más difícil de rastrear», dijo Steven Masada, Fiscal General Adjunto de la División de Delitos Digitales de Microsoft. “Desde marzo de 2025, se han reportado aproximadamente 40 millones de dólares en pérdidas fraudulentas solo en los Estados Unidos debido a la actividad habilitada por RedVDS”.
Los servicios Crimeware-as-a-Service (CaaS) se han convertido en un modelo de negocio cada vez más lucrativo, transformando el cibercrimen de un dominio que antes era exclusivo y que requería experiencia técnica a una economía clandestina donde incluso los atacantes ambiciosos e inexpertos pueden ejecutar ataques complejos rápidamente y a escala.
Estos servicios llave en mano abarcan una amplia gama de herramientas modulares, desde kits de phishing hasta ladrones y ransomware, contribuyendo eficazmente a la profesionalización del ciberdelito y emergiendo como catalizadores de ataques avanzados.
RedVDS se anunciaba como un servicio de suscripción en línea que proporcionaba computadoras virtuales baratas y desechables que ejecutaban software sin licencia, como Windows, para permitir a los delincuentes operar de forma anónima, enviar correos electrónicos masivos de phishing, albergar infraestructura fraudulenta, llevar a cabo esquemas de compromiso de correo electrónico empresarial (BEC), realizar apropiaciones de cuentas y facilitar el fraude financiero, dijo Microsoft.
Específicamente, sirvió como un centro para comprar servidores de Protocolo de Escritorio Remoto (RDP) basados en Windows, económicos y sin licencia, sobre los cuales los administradores tenían control total a través de una interfaz de usuario rica en funciones y no tenían restricciones de uso. Además de ofrecer servidores en Canadá, Estados Unidos, Francia, Países Bajos, Alemania, Singapur y Reino Unido, RedVDS también proporcionó un panel de revendedores para crear subusuarios y otorgarles acceso para administrar los servidores sin compartir el acceso al sitio principal.
La sección de preguntas frecuentes del sitio web indica que los usuarios pueden utilizar el bot de Telegram para administrar sus servidores desde la aplicación Telegram en lugar de iniciar sesión en el sitio. En particular, el servicio no mantenía registros de actividad, lo que lo convertía en una opción atractiva para el abuso.
RedVDS se promovió como una forma de «aumentar la productividad y trabajar desde casa de forma cómoda y sencilla», según una instantánea capturada en Internet Archive. Los administradores dijeron en el sitio web ahora incautado que el servicio se estableció por primera vez en 2017 y operaba en Discord, ICQ y Telegram. El sitio web se lanzó en 2019.
«RedVDS se combina frecuentemente con herramientas de inteligencia artificial generativa que ayudan a identificar objetivos de alto valor más rápidamente y generar hilos de correo electrónico de mensajes multimedia más realistas que imitan comunicaciones legítimas», dijo la compañía, y agregó que «se ha observado que los atacantes mejoran aún más su engaño aprovechando el intercambio de rostros, la manipulación de videos y las herramientas de inteligencia artificial de clonación de voz para hacerse pasar por individuos y engañar a las víctimas».
Infraestructura de Herramientas RedVDS
Desde septiembre de 2025, los ataques impulsados por RedVDS supuestamente han comprometido o comprometido a más de 191.000 organizaciones en todo el mundo, lo que destaca el impacto de gran alcance del servicio.
El fabricante de Windows, que rastrea a los desarrolladores y mantenedores de RedVDS bajo el sobrenombre de Storm-2470, anunció que había identificado una «red global de cibercriminales dispares» que utiliza infraestructura proporcionada por mercados criminales para atacar múltiples sectores, incluidos el derecho, la construcción, la manufactura, los bienes raíces, la atención médica y la educación en los Estados Unidos, Canadá, el Reino Unido, Francia, Alemania, Australia y otros países con importantes ataques a la infraestructura bancaria.
Cadena de ataque RedVDS
Los actores de amenazas notables incluyen Storm-2227, Storm-1575, Storm-1747 y actores de phishing que utilizaron el kit de phishing RaccoonO365 antes de que fuera suspendido en septiembre de 2025. Esta infraestructura se utilizó específicamente para alojar un conjunto de herramientas que constaba de software malicioso y de doble uso.
Herramientas de correo electrónico masivo de spam/phishing como SuperMailer, UltraMailer, BlueMail, SquadMailer y Email Sorter Pro/recolectores de direcciones de correo electrónico definitivos como Sky Email Extractor que recopilan o verifican direcciones de correo electrónico masivas Herramientas de privacidad y OPSEC como Waterfox, Avast Secure Browser, Norton Private Browser, NordVPN y ExpressVPN Herramientas de acceso remoto como AnyDesk
Un atacante supuestamente utilizó un host aprovisionado para enviar correos electrónicos mediante programación (y sin éxito) a través de Microsoft Power Automate (Flow) usando Excel. Mientras tanto, otros usuarios de RedVDS aprovecharon ChatGPT u otras herramientas de OpenAI para crear señuelos de phishing, recopilar información sobre los flujos de trabajo organizacionales para cometer fraude y distribuir mensajes de phishing destinados a recolectar credenciales y tomar el control de las cuentas de las víctimas.
Productos RedVDS
El objetivo final de estos ataques es realizar una estafa BEC convincente. Esto permite a los actores de amenazas infiltrarse en conversaciones de correo electrónico legítimas con proveedores y emitir facturas fraudulentas para engañar a los objetivos para que transfieran fondos a cuentas de mulas bajo su control.
Curiosamente, sus términos de servicio prohibían a los clientes usar RedVDS para enviar correos electrónicos de phishing, distribuir malware, transmitir contenido ilegal, escanear sistemas en busca de vulnerabilidades de seguridad o participar en ataques de denegación de servicio (DoS). Esto sugiere que el atacante está intentando limitar o eliminar la responsabilidad.
Microsoft dijo además: «Hemos visto ataques que muestran miles de credenciales robadas, facturas robadas de organizaciones específicas, correos electrónicos masivos, kits de phishing y múltiples hosts de Windows, todos creados a partir de la misma instalación base de Windows».
«Una investigación adicional reveló que la mayoría de los hosts se crearon utilizando una única identificación de computadora, lo que significa que se usó la misma licencia de Windows Eval 2022 para crear estos hosts. Al crear imágenes usando licencias robadas, Storm-2470 proporcionó servicios a un costo significativamente menor, lo que lo hizo atractivo para los atacantes comprar o adquirir servicios RedVDS».
Se generó un servidor virtual en la nube de Windows a partir de una única imagen de Windows Server 2022 a través de RDP. Todas las instancias identificadas usaban el mismo nombre de computadora WIN-BUNS25TD77J. A Storm-2470 se le atribuye la creación de una única máquina virtual (VM) de Windows y su clonación repetida sin cambiar la identidad del sistema.
Las instancias clonadas de Windows se crean bajo demanda utilizando la tecnología de virtualización Quick Emulator (QEMU) combinada con el controlador VirtIO, con un proceso automatizado que copia la imagen de la máquina virtual (VM) maestra a un nuevo host cada vez que se solicita un servidor a cambio de un pago en criptomonedas. Esta estrategia permitió que se crearan nuevos hosts RDP en cuestión de minutos, lo que permitió a los ciberdelincuentes expandir sus operaciones.
«Los actores de amenazas utilizaron RedVDS porque proporcionaba un entorno permisivo, de bajo costo y resistente en el que podían iniciar y ocultar múltiples etapas de sus operaciones», dijo Microsoft. “Una vez aprovisionados, estos hosts de Windows clonados brindan a los atacantes una plataforma lista para usar para sondear objetivos, organizar infraestructura de phishing, robar credenciales, apoderarse de buzones de correo y realizar fraudes financieros basados en suplantación de identidad con mínima fricción.
Source link
