Microsoft Çarşamba günü yaptığı açıklamada, Mart 2025’ten bu yana yalnızca ABD’de bildirilen en az 40 milyon dolarlık kayıpla bağlantılı devasa bir siber suç platformu olan RedVDS’yi kesintiye uğrattığını duyurdu.
Microsoft, Europol ve Alman makamlarıyla daha geniş bir uluslararası operasyonun parçası olarak kötü amaçlı altyapıya el koyarak ve RedVDS’nin pazar yerini ve müşteri portalını çevrimdışına alarak Amerika Birleşik Devletleri ve Birleşik Krallık’ta hukuk davaları açtı.
Bu davada Microsoft’a iki ortak davacı katıldı: İş e-postası uzlaşma planında 7,3 milyon dolar kaybeden Alabama ilaç şirketi H2-Pharma ve yerleşik fonlardan yaklaşık 500.000 dolar kaybeden Florida’daki Gatehouse Dock Condominium Association.
Microsoft’un Dijital Suçlar Birimi genel danışman yardımcısı Steven Masada, “RedVDS, ayda 24 dolar gibi düşük bir ücret karşılığında, suçlulara dolandırıcılığı ucuz, ölçeklenebilir ve takip edilmesi zor hale getiren tek kullanımlık sanal bilgisayarlara erişim sağlıyor” dedi.
“Buna benzer hizmetler, dünya çapında bireylere, işletmelere ve topluluklara zarar veren saldırıları güçlendirerek, günümüzde siber etkin suçlardaki artışın arkasında sessizce itici bir güç haline geldi.”
RedVDS, 2019’dan bu yana hizmet olarak siber suç platformu olarak faaliyet göstermektedir (redvds’i kullanarak)[.]com, redvds[.]pro ve vdspanel[.]Space etki alanları), Storm-0259, Storm-2227, Storm-1575 ve Storm-1747 olarak takip edilen tehdit aktörleri de dahil olmak üzere birden fazla siber suçlu grubuna yönetici kontrolüyle ve kullanım sınırı olmaksızın sanal Windows bulut sunucularına erişim satıyor.
Microsoft’un araştırması, RedVDS geliştiricisinin ve operatörünün (Storm-2470 olarak izlenen) tüm sanal makineleri tek bir klonlanmış Windows Server 2022 görüntüsünden oluşturduğunu ortaya çıkardı. Bu, tüm örneklerin aynı bilgisayar adını (WIN-BUNS25TD77J) paylaşmasıyla ayırt edici bir teknik parmak izi bıraktı; bu anormallik, araştırmacıların hizmetin kötü amaçlı kampanyalar genelindeki operasyonlarını izlemesine yardımcı oldu.
RedVDS, Amerika Birleşik Devletleri, Birleşik Krallık, Fransa, Kanada, Hollanda ve Almanya’daki üçüncü taraf barındırma sağlayıcılarından sunucular kiraladı. Bu, suçluların coğrafi olarak hedeflere yakın IP adresleri sağlamasına ve konuma dayalı güvenlik filtrelerinden kolayca kaçmasına olanak tanıdı.
Müfettişler, RedVDS müşterilerinin kiralanan sunuculara toplu posta araçları, e-posta adresi toplayıcılar, gizlilik araçları ve uzaktan erişim yazılımları da dahil olmak üzere çok çeşitli kötü amaçlı yazılım ve kötü amaçlı araçlar yerleştirdiğini buldu.
Hizmet, suçluların toplu kimlik avı e-postaları göndermesine, dolandırıcılık altyapısı barındırmasına ve kripto para birimi ödemeleri yoluyla anonimliği korurken dolandırıcılık planlarını kolaylaştırmasına olanak tanıdı.
RedVDS sunucuları aynı zamanda kimlik bilgisi hırsızlığı, hesap ele geçirme, iş e-postasının ele geçirilmesi (ödeme yönlendirme olarak da bilinir) saldırıları ve emlak ödemesi yönlendirme dolandırıcılıklarında da kullanıldı; ikincisi Kanada ve Avustralya’da 9.000’den fazla müşteri için büyük kayıplara neden oldu.
Microsoft, RedVDS müşterilerinin çoğunun, daha ikna edici kimlik avı e-postaları oluşturmak için saldırılarında ChatGPT dahil olmak üzere yapay zeka araçlarını kullandığını, diğerlerinin ise çeşitli güvenilir kuruluş ve kişilerin kimliğine bürünmek için yüz değiştirme, video manipülasyonu ve ses klonlama kullandığını buldu.
Yalnızca bir ay içinde 2.600’den fazla RedVDS sanal makinesini kontrol eden siber suçlular, yalnızca Microsoft müşterilerine günde ortalama 1 milyon kimlik avı mesajı gönderdi. Bu, son dört ayda yaklaşık 200.000 Microsoft hesabının ele geçirilmesini sağladı.
Masada, “Eylül 2025’ten bu yana, RedVDS’nin etkin olduğu saldırılar, dünya çapında 191.000’den fazla kuruluşun güvenliğinin ihlal edilmesine veya hileli erişime yol açtı. Bu rakamlar, tüm teknoloji sağlayıcıları genelinde etkilenen hesapların yalnızca bir alt kümesini temsil ediyor ve bu altyapının siber saldırıların ölçeğini ne kadar hızlı artırdığını gösteriyor.” diye ekledi.
“Bu rakamlar, tüm teknoloji sağlayıcıları genelinde etkilenen hesapların yalnızca bir alt kümesini temsil ediyor ve bu altyapının siber saldırıların ölçeğini ne kadar hızlı artırdığını gösteriyor.”
Microsoft’un Dijital Suçlar Birimi (DCU), Eylül ayında Cloudflare ile koordineli olarak, siber suçluların binlerce Microsoft 365 kimlik bilgilerini çalmasına yardımcı olan büyük bir Hizmet Olarak Kimlik Avı (PhaaS) operasyonu olan RaccoonO365’i de kesintiye uğrattı.
İster eski anahtarları temizliyor ister yapay zeka tarafından oluşturulan kod için korkuluklar kuruyor olun, bu kılavuz ekibinizin en başından itibaren güvenli bir şekilde geliştirme yapmasına yardımcı olur.
Hile sayfasını alın ve sır yönetimindeki tahminleri ortadan kaldırın.