A Microsoft anunciou na última quarta-feira a desarticulação do RedVDS, uma grande plataforma de cybercrime que, desde março de 2025, está associada a prejuízos superiores a 40 milhões de dólares apenas nos Estados Unidos.
Como parte de uma ampla operação internacional conduzida em parceria com a Europol e autoridades alemãs, a Microsoft entrou com processos civis nos Estados Unidos e no Reino Unido, conseguindo apreender a infraestrutura maliciosa da plataforma e derrubar seu marketplace e portal de clientes.
Além da Microsoft, participaram da ação dois coautores: a H2-Pharma, empresa farmacêutica do Alabama que perdeu 7,3 milhões de dólares em um esquema de Business Email Compromise (BEC), e a Gatehouse Dock Condominium Association, na Flórida, que teve cerca de 500 mil dólares desviados dos fundos dos moradores.
“Por apenas 24 dólares mensais, o RedVDS oferecia a criminosos acesso a computadores virtuais descartáveis, tornando fraudes baratas, escaláveis e difíceis de rastrear”, explica Steven Masada, assistente-geral da Digital Crimes Unit da Microsoft.
Segundo ele, serviços desse tipo alimentam o aumento das infrações cibernéticas atuais, causando danos a indivíduos, empresas e comunidades em todo o mundo.
Desde 2019, o RedVDS operava como uma plataforma de cybercrime-as-a-service, comercializando servidores virtuais em nuvem com acesso administrador e uso ilimitado para diversos grupos criminosos, incluindo ameaças monitoradas como Storm-0259, Storm-2227, Storm-1575 e Storm-1747.
A investigação da Microsoft identificou que o operador do RedVDS (rastreado como Storm-2470) criava todas as máquinas virtuais a partir da clonagem de uma única imagem padrão do Windows Server 2022.
Isso gerou uma assinatura técnica clara: todas as instâncias carregavam o mesmo nome de computador, WIN-BUNS25TD77J.
Essa característica facilitou o acompanhamento das operações em diferentes campanhas maliciosas.
O RedVDS alugava servidores de provedores de hospedagem nos Estados Unidos, Reino Unido, França, Canadá, Holanda e Alemanha.
Essa diversidade geográfica permitia aos criminosos obter IPs próximos às vítimas, burlando filtros de segurança baseados em localização.
Nos servidores alugados, os usuários do RedVDS implantavam vários malwares e ferramentas maliciosas, como utilitários de envio em massa de e-mails, coletores de endereços, softwares para proteção de privacidade e programas de acesso remoto.
A plataforma possibilitava o envio massivo de e-mails phishing, hospedagem de infraestruturas de golpes e facilitação de esquemas fraudulentos, garantindo anonimato aos criminosos mediante pagamentos em criptomoedas.
As máquinas também foram usadas em roubos de credenciais, tomadas de controle de contas, ataques de Business Email Compromise (também chamados de payment diversion) e golpes relacionados a pagamentos no setor imobiliário, que prejudicaram mais de 9 mil clientes no Canadá e na Austrália.
A Microsoft descobriu que muitos clientes do RedVDS integraram ferramentas de inteligência artificial, como o ChatGPT, para criar e-mails phishing mais convincentes.
Outros aplicaram técnicas avançadas como troca de rosto (face-swapping), manipulação de vídeos e clonagem de voz para se passar por organizações ou pessoas confiáveis.
Em um único mês, criminosos que controlavam mais de 2.600 máquinas virtuais do RedVDS enviaram cerca de 1 milhão de mensagens phishing diárias apenas para usuários Microsoft.
Isso resultou no comprometimento de quase 200 mil contas da empresa nos últimos quatro meses.
“Desde setembro de 2025, ataques originados do RedVDS causaram acesso fraudulento ou comprometimento de mais de 191 mil organizações globalmente.
Esses números representam apenas uma parte dos incidentes em todos os provedores de tecnologia, evidenciando a velocidade com que essa infraestrutura amplia a escala dos ataques cibernéticos”, ressalta Masada.
Ainda em setembro, em colaboração com a Cloudflare, a Digital Crimes Unit da Microsoft desmantelou o RaccoonO365, uma operação de Phishing-as-a-Service (PhaaS) que auxiliava criminosos a roubar milhares de credenciais do Microsoft 365.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...