Microsoft heeft woensdag aangekondigd dat het in de VS en Groot-Brittannië ‘gecoördineerde juridische stappen’ heeft ondernomen om een abonnementsdienst voor cybercriminaliteit te ontwrichten, genaamd RoodVDS dat naar verluidt miljoenen aan fraudeverliezen heeft aangewakkerd.
De inspanning maakt volgens de technologiegigant deel uit van een bredere wetshandhavingsinspanning in samenwerking met wetshandhavingsautoriteiten die het mogelijk heeft gemaakt de kwaadaardige infrastructuur in beslag te nemen en de illegale dienst (“redvds(.)com”) offline te halen.
“Voor slechts 24 dollar per maand biedt RedVDS criminelen toegang tot wegwerpbare virtuele computers die fraude goedkoop, schaalbaar en moeilijk te traceren maken”, zegt Steven Masada, assistent-algemeen adviseur van de Digital Crimes Unit van Microsoft. “Sinds maart 2025 heeft de door RedVDS ondersteunde activiteit alleen al in de Verenigde Staten ongeveer 40 miljoen dollar aan gerapporteerde fraudeverliezen veroorzaakt.”
Het aanbod van Crimeware-as-a-Service (CaaS) is steeds meer een lucratief bedrijfsmodel geworden, waardoor cybercriminaliteit is getransformeerd van wat ooit een exclusief domein was waarvoor technische expertise nodig was, naar een ondergrondse economie waarin zelfs onervaren en ambitieuze dreigingsactoren snel en op grote schaal complexe aanvallen kunnen uitvoeren.
Deze kant-en-klare diensten omvatten een breed spectrum aan modulaire tools, variërend van phishing-kits tot stealers en ransomware, die effectief bijdragen aan de professionalisering van cybercriminaliteit en zich ontwikkelen als katalysator voor geavanceerde aanvallen.
Microsoft zei dat RedVDS werd geadverteerd als een online abonnementsdienst die goedkope en wegwerpbare virtuele computers biedt waarop software zonder licentie draait, waaronder Windows, om criminelen in staat te stellen anoniem te opereren en grote aantallen phishing-e-mails te verzenden, een oplichtingsinfrastructuur te hosten, zakelijke e-mailcompromis (BEC)-schema’s uit te voeren, accountovernames uit te voeren en financiële fraude te vergemakkelijken.
Concreet diende het als een hub voor de aanschaf van goedkope, op Windows gebaseerde Remote Desktop Protocol (RDP)-servers zonder licentie, met volledige beheerderscontrole en zonder gebruikslimieten via een veelzijdige gebruikersinterface. RedVDS bood niet alleen servers aan in Canada, de VS, Frankrijk, Nederland, Duitsland, Singapore en het VK, maar bood ook een resellerpaneel aan om subgebruikers aan te maken en hen toegang te verlenen om de servers te beheren zonder de toegang tot de hoofdsite te hoeven delen.
In een sectie met veelgestelde vragen op de website werd opgemerkt dat gebruikers de Telegram-bot kunnen gebruiken om hun servers vanuit de Telegram-app te beheren in plaats van dat ze op de site moeten inloggen. Met name hield de dienst geen activiteitenlogboeken bij, waardoor het een aantrekkelijke keuze was voor illegaal gebruik.
Volgens momentopnamen die op het internetarchief zijn vastgelegd, werd RedVDS geadverteerd als een manier om “uw productiviteit te verhogen en comfortabel en gemakkelijk vanuit huis te werken.” De dienst, zo zeiden de beheerders op de inmiddels in beslag genomen website, werd voor het eerst opgericht in 2017 en werkte op Discord, ICQ en Telegram. De website is in 2019 gelanceerd.
“RedVDS wordt vaak gecombineerd met generatieve AI-tools die helpen bij het sneller identificeren van waardevolle doelen en het genereren van realistischere e-mailthreads van multimediaberichten die legitieme correspondentie nabootsen”, aldus het bedrijf, eraan toevoegend dat “waargenomen aanvallers hun bedrog verder vergroten door gebruik te maken van face-swapping, videomanipulatie en AI-tools voor het klonen van stemmen om zich voor te doen als individuen en slachtoffers te misleiden.”
Sinds september 2025 zouden aanvallen, aangewakkerd door RedVDS, hebben geleid tot het compromitteren of frauduleuze toegang van meer dan 191.000 organisaties wereldwijd, wat het grote bereik van de dienst onderstreept.
De Windows-maker, die de ontwikkelaar en onderhouder van RedVDS volgt onder de naam Storm-2470, zei dat het een ‘mondiaal netwerk van uiteenlopende cybercriminelen’ heeft geïdentificeerd die gebruik maken van de infrastructuur van de criminele markt om meerdere sectoren aan te vallen, waaronder de juridische sector, de bouw, de productie, de vastgoedsector, de gezondheidszorg en het onderwijs in de VS, Canada, Groot-Brittannië, Frankrijk, Duitsland, Australië en landen met substantiële doelstellingen op het gebied van de bankinfrastructuur.
Enkele van de opmerkelijke dreigingsactoren zijn Storm-2227, Storm-1575, Storm-1747 en phishing-actoren die de RaccoonO365-phishing-kit gebruikten vóór de verstoring ervan in september 2025. De infrastructuur werd specifiek gebruikt om een toolkit te hosten die zowel kwaadaardige als software voor tweeërlei gebruik omvatte:
- Massale spam-/phishing-e-mailtools zoals SuperMailer, UltraMailer, BlueMail, SquadMailer en Email Sorter Pro/Ultimate
- E-mailadres-harvesters zoals Sky Email Extractor om grote aantallen e-mailadressen te schrapen of te valideren
- Privacy- en OPSEC-tools zoals Waterfox, Avast Secure Browser, Norton Private Browser, NordVPN en ExpressVPN
- Hulpmiddelen voor externe toegang, zoals AnyDesk
Eén bedreigingsacteur zou de ingerichte hosts hebben gebruikt om programmatisch (en zonder succes) e-mails te verzenden via Microsoft Power Automate (Flow) met behulp van Excel, terwijl andere RedVDS-gebruikers ChatGPT of andere OpenAI-tools gebruikten om phishing-lokmiddelen te maken, informatie te verzamelen over organisatorische workflows om fraude te plegen, en phishing-berichten te verspreiden die zijn ontworpen om inloggegevens te verzamelen en controle te krijgen over de accounts van slachtoffers.
Het uiteindelijke doel van deze aanvallen is het opzetten van zeer overtuigende BEC-zwendelpraktijken, waardoor de dreigingsactoren zichzelf kunnen injecteren in legitieme e-mailgesprekken met leveranciers en frauduleuze facturen kunnen uitgeven om doelen te misleiden om geld over te maken naar een muilezelaccount onder hun controle.
Interessant genoeg verbood de servicevoorwaarden klanten RedVDS te gebruiken voor het verzenden van phishing-e-mails, het verspreiden van malware, het overbrengen van illegale inhoud, het scannen van systemen op beveiligingsproblemen of het uitvoeren van Denial-of-Service (DoS)-aanvallen. Dit duidt op de schijnbare poging van de dreigingsactoren om de aansprakelijkheid te beperken of te ontlopen.
Microsoft zei verder dat het “aanvallen identificeerde die duizenden gestolen inloggegevens, facturen gestolen van doelorganisaties, massamailers en phish-kits vertoonden, wat aangeeft dat meerdere Windows-hosts allemaal zijn gemaakt op basis van dezelfde Windows-basisinstallatie.”
“Bijkomend onderzoek heeft uitgewezen dat de meeste hosts zijn gemaakt met behulp van een enkele computer-ID, wat betekent dat dezelfde Windows Eval 2022-licentie is gebruikt om deze hosts te maken. Door de gestolen licentie te gebruiken om afbeeldingen te maken, leverde Storm-2470 zijn diensten tegen aanzienlijk lagere kosten, waardoor het voor bedreigingsactoren aantrekkelijk werd om RedVDS-services te kopen of te verwerven.”
De virtuele Windows-cloudservers zijn via RDP gegenereerd op basis van één Windows Server 2022-image. Alle geïdentificeerde exemplaren gebruikten dezelfde computernaam, WIN-BUNS25TD77J. Er is vastgesteld dat Storm-2470 één virtuele Windows-machine (VM) heeft gemaakt en deze herhaaldelijk heeft gekloond zonder de systeemidentiteit te wijzigen.
De gekloonde Windows-instanties worden op aanvraag gemaakt met behulp van Quick Emulator (QEMU)-virtualisatietechnologie in combinatie met VirtIO-stuurprogramma’s, waarbij een geautomatiseerd proces de master virtual machine (VM)-image naar een nieuwe host kopieert telkens wanneer een server wordt besteld in ruil voor een cryptocurrency-betaling. Deze strategie maakte het mogelijk om binnen enkele minuten nieuwe RDP-hosts op te zetten, waardoor cybercriminelen hun activiteiten konden opschalen.
“Bedreigingsactoren gebruikten RedVDS omdat het een zeer tolerante, goedkope, veerkrachtige omgeving bood waarin ze meerdere fasen van hun operatie konden lanceren en verbergen”, aldus Microsoft. “Eenmaal ingericht, gaven deze gekloonde Windows-hosts actoren een kant-en-klaar platform om doelwitten te onderzoeken, phishing-infrastructuur op te zetten, inloggegevens te stelen, mailboxen te kapen en met minimale wrijving financiële fraude op basis van nabootsing uit te voeren.
