Microsoft hôm thứ Tư thông báo đã thực hiện một "hành động pháp lý phối hợp" tại Hoa Kỳ và Vương quốc Anh nhằm phá vỡ dịch vụ đăng ký cybercrime có tên RedVDS, được cho là đã gây ra hàng triệu đô la thiệt hại do lừa đảo.
Nỗ lực này, theo gã khổng lồ công nghệ, là một phần của chiến dịch thực thi pháp luật rộng lớn hơn, phối hợp với các cơ quan chức năng, cho phép tịch thu hạ tầng độc hại và ngừng hoạt động dịch vụ bất hợp pháp ("redvds[.]com").
"Với chi phí chỉ 24 USD mỗi tháng, RedVDS cung cấp cho tội phạm quyền truy cập vào các máy tính ảo dùng một lần, giúp việc lừa đảo trở nên rẻ, có khả năng mở rộng và khó truy vết," Steven Masada, trợ lý tổng cố vấn của Đơn vị Tội phạm Kỹ thuật số của Microsoft cho biết. "Kể từ tháng 3 năm 2025, hoạt động được RedVDS hỗ trợ đã gây ra khoảng 40 triệu USD thiệt hại do lừa đảo được báo cáo chỉ riêng ở Hoa Kỳ."
Các dịch vụ Crimeware-as-a-service (CaaS) ngày càng trở thành một mô hình kinh doanh béo bở, biến cybercrime từ một lĩnh vực độc quyền đòi hỏi chuyên môn kỹ thuật thành một nền kinh tế ngầm, nơi ngay cả những kẻ tấn công thiếu kinh nghiệm và mới vào nghề cũng có thể thực hiện các cuộc tấn công phức tạp một cách nhanh chóng và trên quy mô lớn.
Các dịch vụ "chìa khóa trao tay" này bao gồm một loạt các công cụ mô-đun, từ phishing kits đến stealers đến ransomware, góp phần chuyên nghiệp hóa cybercrime và trở thành chất xúc tác cho các cuộc tấn công tinh vi.
Microsoft cho biết RedVDS được quảng cáo là một dịch vụ đăng ký trực tuyến cung cấp các máy tính ảo giá rẻ và dùng một lần chạy phần mềm không có giấy phép, bao gồm Windows, nhằm tạo điều kiện và cho phép tội phạm hoạt động ẩn danh, gửi email phishing số lượng lớn, lưu trữ hạ tầng lừa đảo, thực hiện các kế hoạch business email compromise (BEC), thực hiện account takeovers và tạo điều kiện cho lừa đảo tài chính.
Cụ thể, nó đóng vai trò là một trung tâm để mua các máy chủ Remote Desktop Protocol (RDP) dựa trên Windows không có giấy phép và giá cả phải chăng, với quyền kiểm soát quản trị viên đầy đủ và không giới hạn sử dụng thông qua giao diện người dùng giàu tính năng. RedVDS, ngoài việc cung cấp máy chủ đặt tại Canada, Hoa Kỳ, Pháp, Hà Lan, Đức, Singapore và Vương quốc Anh, còn cung cấp bảng điều khiển dành cho nhà phân phối lại để tạo người dùng phụ và cấp cho họ quyền truy cập để quản lý máy chủ mà không cần chia sẻ quyền truy cập vào trang web chính.
Một phần FAQ trên trang web lưu ý rằng người dùng có thể tận dụng bot Telegram của nó để quản lý máy chủ của họ từ ứng dụng Telegram thay vì phải đăng nhập vào trang web. Đáng chú ý, dịch vụ này không duy trì nhật ký hoạt động, khiến nó trở thành một lựa chọn hấp dẫn cho việc sử dụng bất hợp pháp.
Theo các ảnh chụp nhanh được lưu trữ trên Internet Archive, RedVDS được quảng cáo là một cách để "tăng năng suất và làm việc tại nhà một cách thoải mái và dễ dàng." Dịch vụ này, những người duy trì cho biết trên trang web hiện đã bị tịch thu, lần đầu tiên được thành lập vào năm 2017 và hoạt động trên Discord, ICQ và Telegram. Trang web được ra mắt vào năm 2019.
"RedVDS thường được kết hợp với các công cụ generative AI giúp xác định các mục tiêu có giá trị cao hơn nhanh chóng và tạo ra các chuỗi email tin nhắn đa phương tiện thực tế hơn, bắt chước các thư từ hợp pháp," công ty cho biết, đồng thời nói thêm rằng họ "quan sát thấy những kẻ tấn công còn tăng cường hành vi lừa đảo của chúng bằng cách tận dụng các công cụ AI thay đổi khuôn mặt (face-swapping), thao túng video (video manipulation) và nhân bản giọng nói (voice cloning) để mạo danh cá nhân và lừa dối nạn nhân."
Kể từ tháng 9 năm 2025, các cuộc tấn công được RedVDS tiếp tay được cho là đã dẫn đến việc hơn 191.000 tổ chức trên toàn thế giới bị xâm phạm hoặc truy cập gian lận, cho thấy phạm vi hoạt động rộng lớn của dịch vụ này.
Nhà sản xuất Windows, đang theo dõi nhà phát triển và duy trì RedVDS dưới biệt danh Storm-2470, cho biết họ đã xác định được một "mạng lưới các cybercriminals toàn cầu" khác nhau đang tận dụng hạ tầng do chợ đen tội phạm này cung cấp để tấn công nhiều lĩnh vực, bao gồm pháp lý, xây dựng, sản xuất, bất động sản, chăm sóc sức khỏe và giáo dục ở Hoa Kỳ, Canada, Vương quốc Anh, Pháp, Đức, Úc và các quốc gia có hạ tầng ngân hàng mục tiêu đáng kể.
Một số threat actors đáng chú ý bao gồm Storm-2227, Storm-1575, Storm-1747 và các threat actors phishing đã sử dụng phishing kit RaccoonO365 trước khi nó bị phá vỡ vào tháng 9 năm 2025. Hạ tầng này đặc biệt được sử dụng để lưu trữ một bộ công cụ bao gồm cả phần mềm độc hại và phần mềm lưỡng dụng -
- Các công cụ gửi email spam/phishing hàng loạt như SuperMailer, UltraMailer, BlueMail, SquadMailer và Email Sorter Pro/Ultimate
- Các công cụ thu thập địa chỉ email như Sky Email Extractor để cạo hoặc xác thực số lượng lớn địa chỉ email
- Các công cụ bảo mật và OPSEC như Waterfox, Avast Secure Browser, Norton Private Browser, NordVPN và ExpressVPN
- Các công cụ truy cập từ xa như AnyDesk
Một threat actor được cho là đã sử dụng các máy chủ được cung cấp để gửi email một cách có lập trình (và không thành công) qua Microsoft Power Automate (Flow) bằng Excel, trong khi những người dùng RedVDS khác đã tận dụng ChatGPT hoặc các công cụ OpenAI khác để tạo ra các mồi nhử phishing, thu thập thông tin tình báo về quy trình làm việc của tổ chức để thực hiện lừa đảo và phân phối các tin nhắn phishing được thiết kế để thu thập credentials và giành quyền kiểm soát tài khoản của nạn nhân.
Mục tiêu cuối cùng của những cuộc tấn công này là tạo ra các vụ lừa đảo BEC rất thuyết phục, cho phép các threat actors tự chèn vào các cuộc trò chuyện email hợp pháp với các nhà cung cấp và phát hành hóa đơn gian lận để lừa mục tiêu chuyển tiền vào một tài khoản "mule" dưới sự kiểm soát của chúng.
Điều thú vị là, Điều khoản Dịch vụ của RedVDS cấm khách hàng sử dụng dịch vụ này để gửi email phishing, phân phối malware, chuyển nội dung bất hợp pháp, quét hệ thống tìm lỗ hổng bảo mật hoặc thực hiện các cuộc tấn công denial-of-service (DoS). Điều này cho thấy nỗ lực rõ ràng của các threat actors nhằm hạn chế hoặc thoát khỏi trách nhiệm pháp lý.
Microsoft cho biết thêm rằng họ "đã xác định các cuộc tấn công cho thấy hàng nghìn credentials bị đánh cắp, hóa đơn bị đánh cắp từ các tổ chức mục tiêu, các công cụ gửi thư hàng loạt (mass mailers) và phish kits, cho thấy rằng nhiều máy chủ Windows đều được tạo ra từ cùng một bản cài đặt Windows cơ bản."
"Các cuộc điều tra bổ sung tiết lộ rằng hầu hết các máy chủ đã được tạo bằng một ID máy tính duy nhất, cho thấy rằng cùng một giấy phép Windows Eval 2022 đã được sử dụng để tạo các máy chủ này. Bằng cách sử dụng giấy phép bị đánh cắp để tạo hình ảnh, Storm-2470 đã cung cấp các dịch vụ của mình với chi phí thấp hơn đáng kể, khiến nó trở nên hấp dẫn đối với các threat actors khi mua hoặc có được các dịch vụ RedVDS."
Các máy chủ đám mây Windows ảo được tạo ra từ một hình ảnh Windows Server 2022 duy nhất, thông qua RDP. Tất cả các phiên bản được xác định đều sử dụng cùng một tên máy tính, WIN-BUNS25TD77J. Người ta đánh giá rằng Storm-2470 đã tạo một máy ảo (VM) Windows và sao chép nó nhiều lần mà không thay đổi định danh hệ thống.
Các phiên bản Windows được sao chép được tạo theo yêu cầu bằng cách sử dụng công nghệ ảo hóa Quick Emulator (QEMU) kết hợp với trình điều khiển VirtIO, với một quy trình tự động sao chép hình ảnh máy ảo (VM) chính sang một máy chủ mới mỗi khi một máy chủ được đặt hàng để đổi lấy khoản thanh toán bằng cryptocurrency. Chiến lược này giúp có thể khởi động các máy chủ RDP mới trong vòng vài phút, cho phép các cybercriminals mở rộng hoạt động của chúng.
"Các threat actors đã sử dụng RedVDS vì nó cung cấp một môi trường rất tự do, chi phí thấp, linh hoạt, nơi chúng có thể khởi động và che giấu nhiều giai đoạn hoạt động của mình," Microsoft cho biết. "Sau khi được cung cấp, các máy chủ Windows được sao chép này đã cung cấp cho các threat actors một nền tảng sẵn có để nghiên cứu mục tiêu, dàn dựng hạ tầng phishing, đánh cắp credentials, chiếm quyền điều khiển hộp thư (hijack mailboxes) và thực hiện các vụ lừa đảo tài chính dựa trên mạo danh với ma sát tối thiểu."
