Microsoftは水曜日、法執行機関と連携して、幅広い悪意ある活動を助長してきたサイバー犯罪サービス「RedVDS」を標的にしたと発表した。
2019年に開始されたRedVDSは、サイバー犯罪者が使い捨てのWindowsベースRDPサーバーを構築できる仮想専用サーバー(VDS)サービスで、これを大量フィッシング、BEC攻撃、金融詐欺、アカウント乗っ取りに悪用できる。
サブスクリプションは月額24ドルからだが、RedVDSに関連すると報告された詐欺被害額は米国だけで合計4,000万ドルに上るとMicrosoftは述べた。例として同社は、サイバー犯罪サービスが関与したBEC攻撃により730万ドル超を失ったアラバマ州の製薬会社を挙げた。
Microsoftによると、サイバー犯罪者はRedVDSを用いて、米国、英国、カナダ、フランス、ドイツ、オーストラリアの組織を標的にしており、法務、製造、医療、不動産、建設、教育などの分野が含まれる。
同社は、RedVDSを運用・開発する脅威グループをStorm-2470として追跡している。
Microsoftは、多くの仮想サーバーが同一のベースWindowsインストールを使用していたため、多数の攻撃をRedVDSに結び付けることができた。サーバーは同じWindows Server 2022イメージから生成され、サーバーインスタンスは同じコンピューター名を持っていた。
「このホストのフィンガープリントはRDP証明書とシステムテレメトリに現れ、RedVDS活動の中核的な指標として機能します。根底にある手口は、Storm-2470が1つのWindows仮想マシン(VM)を作成し、システムIDをカスタマイズすることなく繰り返しクローンしたことです」とMicrosoftは説明した。
これらのRedVDSサーバー自体が実際の悪意ある活動を行うわけではない。代わりに、脅威アクターが悪意ある活動のためにプロビジョニングできる。
同社の分析では、RedVDSサーバーが幅広い目的で使用されていたことが示された。あるサイバー犯罪者は大量送信ツールをインストールし、スパムやフィッシングメールの送信に使用していた。別の者はメールアドレス収集ツールをインストールし、標的リストを作成できるようにしていた。
サイバー犯罪者はまた、プライバシー重視のブラウザーやVPN、AnyDeskなどのリモートアクセスツールをサーバーにインストールしていた。さらに、サービス利用者の一部はAIツールを活用して作戦を改善していたとMicrosoftは報告している。
同社は、わずか1か月の間に、2,600台のRedVDS VMがMicrosoftの顧客に対して1日平均100万通のフィッシングメールを送信しているのを確認した。
「その大半は、Microsoftが1日あたり阻止する6億件のサイバー攻撃の一部としてブロックまたはフラグ付けされましたが、量が膨大なため、わずかな割合が標的の受信箱に到達した可能性があります」とMicrosoftは述べた。「2025年9月以降、RedVDSを利用した攻撃により、世界中の13万を超える組織にまたがって、19万1,000件以上のMicrosoftメールアカウントが侵害または不正アクセスされています」
RedVDSの妨害
Microsoftは国際的な法執行機関と連携し、RedVDSを妨害した。このサイバー犯罪サービスに対して取られた措置には、RedVDSのマーケットプレイスおよび顧客ポータルに関連するドメインの差し押さえが含まれる。
主要サーバーも押収されており、Microsoftは法執行機関と協力して、同サービスに関連する決済ネットワークの妨害にも取り組んでいる。
Microsoftは、RedVDSのインフラを妨害し、運用の背後にいる人物を特定するため、米国で法的措置を提起した。さらに、英国では初めて同様の法的措置を取った。
このニュースは、MicrosoftとCloudflareが連携してRaccoonO365フィッシングサービスを妨害してから、わずか数か月後に伝えられた。RaccoonO365がテイクダウンされる前に同サービスを利用していた脅威アクターの一部は、RedVDSも利用していた。
翻訳元: https://www.securityweek.com/redvds-cybercrime-service-disrupted-by-microsoft-and-law-enforcement/
