Bir suç kuruluşu, büyük miktarda sanal özel sunucu (VDS) oluşturmak için tek tabanlı bir Windows Server 2022 bulut görüntüsü kullandı ve bunlar daha sonra tehdit aktörlerine ucuza kiralandı.
2019’dan bu yana aktif olan RedVDS, halka açık olarak faaliyet gösteriyor ve Amerika Birleşik Devletleri, Birleşik Krallık, Kanada, Fransa, Hollanda ve Almanya’da sunucular sunuyor.
Suç piyasası, tek bir Windows ana bilgisayar görüntüsünü yeniden kullandı ve suçlulara ucuz Uzak Masaüstü Protokolü (RDP) sunucularını basit ve hızlı bir şekilde sağlamak için onu klonladı.
Microsoft Tehdit İstihbaratı, bu sunucuların tam yönetici haklarıyla geldiğini ve kullanım sınırı olmadığını söyledi.
Bunu yaparak suçlular, VDS’leri tehdit aktörlerine düşük maliyetle sunabildiler ancak tüm örnekler aynı WIN-BUNS25TD77J bilgisayar adını, işletim sistemi kimliğini ve Windows Server 2022 ürün anahtarını kullandı ve bu da onları Microsoft Tehdit İstihbaratı tarafından tanınabilir hale getirdi.
RedVDS’den tek kullanımlık bir sanal bilgisayar kiralamanın maliyeti ayda yalnızca 24 ABD Doları (35,82 ABD Doları) idi.
RedVDS, altyapısı için Kuzey Amerika ve Avrupa’da en az beş barındırma şirketi kullandı ve çeşitli kripto para birimleriyle ödeme kabul etti.
Avustralyalı mülk alıcıları RedVDS aracılığıyla dolandırıldı
Microsoft, RedVDS’nin “gayrimenkul ödemesi yönlendirme dolandırıcılıklarını kolaylaştırmak için yoğun bir şekilde kullanıldığını”, dünya çapında 9000’den fazla müşterinin hızla büyüyen siber dolandırıcılıktan etkilendiğini ve Avustralyalılar ve Kanadalıların özellikle ağır darbe aldığını söyledi.
Diğer suç faaliyetleri arasında, günde milyonlarca mesajın gönderildiği büyük ölçekli kimlik avı kampanyaları ve küresel olarak birçok sektörde iş e-postasının ele geçirilmesi (BEC) yer alıyordu.
RedVDS siber suç abonelik hizmetlerinden kaynaklanan kayıplar milyonları buldu; ABD yalnızca Mart 2025’ten bu yana 40 milyon ABD dolarını buldu.
Microsoft, Europol ve Alman polisiyle birlikte RedVDS’ye karşı harekete geçti ve suçluların pazarına ve müşteri portalına erişim sağlayan iki alana el koydu.
Steven Masada, teknoloji devinin ayrıca şirketin Dijital Suçlar Birimi genel danışman yardımcısı RedVDS’nin arkasındaki kişileri tespit etmeye çalıştığını söyledi.
Şu an itibariyle Microsoft, RedVDS’nin Bahamalar’da faaliyet gösteren hayali bir kuruluş kullandığını söyledi ve operasyonun arkasında kimin olduğuna dair daha fazla ayrıntı vermedi.