Microsoft anunció el miércoles que ha tomado una» acción legal coordinada «en EE. UU. y el Reino Unido para interrumpir un servicio de suscripción de ciberdelincuencia llamado DVDS rojos que supuestamente ha generado millones en pérdidas por fraude.
El esfuerzo, según el gigante tecnológico, es parte de un esfuerzo policial más amplio en colaboración con las autoridades policiales que le ha permitido confiscar la infraestructura maliciosa y desconectar el servicio ilícito («redvds [.] com»).
«Por tan solo 24 dólares al mes, ReDVDS brinda a los delincuentes acceso a computadoras virtuales desechables que hacen que el fraude sea barato, escalable y difícil de rastrear». dijo Steven Masada, consejero general adjunto de la Unidad de Delitos Digitales de Microsoft. «Desde marzo de 2025, la actividad relacionada con ReDVDS ha generado aproximadamente 40 millones de dólares en pérdidas por fraude denunciadas solo en los Estados Unidos».
Las ofertas de Crimeware como servicio (CaaS) se han convertido cada vez más en un modelo de negocio lucrativo, transformando la ciberdelincuencia de lo que antes era un dominio exclusivo que requería experiencia técnica a una economía clandestina en la que incluso los actores de amenazas aspirantes y sin experiencia pueden llevar a cabo ataques complejos de forma rápida y a gran escala.
Estos servicios llave en mano abarcan un amplio espectro de herramientas modulares, que van desde kits de suplantación de identidad hasta ladrones y ransomware, y contribuyen de manera eficaz a la profesionalización de la ciberdelincuencia y se perfilan como catalizadores de ataques sofisticados.
Microsoft dijo que ReDVDS se anunciaba como un servicio de suscripción en línea que ofrecía ordenadores virtuales baratos y desechables con software sin licencia, incluido Windows, a fin de permitir y permitir a los delincuentes operar de forma anónima y enviar correos electrónicos de suplantación de identidad de gran volumen, alojar infraestructuras fraudulentas, llevar a cabo planes de compromiso del correo electrónico empresarial (BEC), realizar adquisiciones de cuentas y facilitar el fraude financiero.
Concretamente, sirvió como centro para la compra de servidores de protocolo de escritorio remoto (RDP) basados en Windows sin licencia y económicos con control total del administrador y sin límites de uso a través de una interfaz de usuario rica en funciones. RedVDS, además de ofrecer servidores ubicados en Canadá, EE. UU., Francia, los Países Bajos, Alemania, Singapur y el Reino Unido, también ofrecía un panel de distribuidores para crear subusuarios y concederles acceso para administrar los servidores sin tener que compartir el acceso al sitio principal.
Una sección de preguntas frecuentes del sitio web señaló que los usuarios pueden aprovechar su bot de Telegram para administrar sus servidores desde la aplicación Telegram en lugar de tener que iniciar sesión en el sitio. Cabe destacar que el servicio no mantenía registros de actividad, lo que lo convertía en una opción atractiva para el uso ilícito.
Según las instantáneas capturadas en Internet Archive, RedVDS se anunciaba como una forma de «aumentar la productividad y trabajar desde casa con comodidad y facilidad». El servicio, dijeron sus responsables en el sitio web ahora incautado, se fundó por primera vez en 2017 y operaba en Discord, ICQ y Telegram. El sitio web se lanzó en 2019.
«RedVDS se combina con frecuencia con herramientas de IA generativas que ayudan a identificar objetivos de alto valor con mayor rapidez y a generar cadenas de correo electrónico de mensajes multimedia más realistas que imitan las correspondencias legítimas», afirma la empresa, y añade que «han observado que los atacantes aumentan aún más su engaño al aprovechar las herramientas de IA de intercambio de rostros, manipulación de vídeo y clonación de voz para hacerse pasar por personas y engañar a las víctimas».
|
| Infraestructura de herramientas RedVDS |
Desde septiembre de 2025, se dice que los ataques impulsados por ReDVDS han puesto en peligro o han permitido el acceso fraudulento de más de 191 000 organizaciones de todo el mundo, lo que subraya el prolífico alcance del servicio.
El fabricante de Windows, que está rastreando al desarrollador y mantenedor de RedVDS con el nombre de Storm-2470, dijo ha identificado una «red global de ciberdelincuentes dispares» que aprovecha la infraestructura proporcionada por el mercado delictivo para atacar múltiples sectores, incluidos el legal, la construcción, la fabricación, el inmobiliario, la atención médica y la educación en los EE. UU., Canadá, el Reino Unido, Francia, Alemania, Australia y países con importantes objetivos de infraestructura bancaria.
|
| Cadena de ataque de RedVDS |
Algunos de los actores de amenazas más destacados son Storm-2227, Storm-1575, Storm-1747 y los actores de suplantación de identidad que utilizaron el Raccoon O365 kit de suplantación de identidad antes de su interrupción en septiembre de 2025. La infraestructura se utilizó específicamente para alojar un conjunto de herramientas que incluía software malintencionado y de doble uso -
- Herramientas de correo masivo de spam y suplantación de identidad como SuperMailer, UltraMailer, BlueMail, SquadMailer y Email Sorter Pro/Ultimate
- Recolectores de direcciones de correo electrónico como Sky Email Extractor para extraer o validar grandes cantidades de direcciones de correo electrónico
- Herramientas de privacidad y OPSEC como Waterfox, Avast Secure Browser, Norton Private Browser, NordVPN y ExpressVPN
- Herramientas de acceso remoto como AnyDesk
Se dice que un actor de amenazas utilizó los hosts aprovisionados para enviar correos electrónicos de forma programática (y sin éxito) a través de Microsoft Power Automate (Flow) con Excel, mientras que otros usuarios de RedVDS utilizaron ChatGPT u otras herramientas de OpenAI para crear señuelos de suplantación de identidad, recopilar información sobre los flujos de trabajo organizacionales para cometer fraudes y distribuir mensajes de suplantación de identidad diseñados para recopilar credenciales y tomar el control de las cuentas de las víctimas.
|
| Ofertas de RedVDS |
El objetivo final de estos ataques es montar estafas de tipo BEC altamente convincentes, que permitan a los actores de la amenaza involucrarse en conversaciones legítimas por correo electrónico con los proveedores y emitir facturas fraudulentas para engañar a los objetivos y hacer que transfieran fondos a una cuenta de mula bajo su control.
Curiosamente, sus condiciones de servicio prohibían a los clientes usar RedVDS para enviar correos electrónicos de suplantación de identidad, distribuir malware, transferir contenido ilegal, escanear sistemas en busca de vulnerabilidades de seguridad o participar en ataques de denegación de servicio (DoS). Esto sugiere el aparente esfuerzo de los actores de la amenaza por limitar o eludir su responsabilidad.
Microsoft dijo además que «identificó ataques que mostraban miles de credenciales robadas, facturas robadas de organizaciones objetivo, correos masivos y kits de suplantación de identidad, lo que indica que se crearon varios hosts de Windows a partir de la misma instalación base de Windows».
«Investigaciones adicionales revelaron que la mayoría de los hosts se crearon con una sola ID de computadora, lo que significa que se usó la misma licencia de Windows Eval 2022 para crear estos hosts. Al utilizar la licencia robada para crear imágenes, Storm-2470 prestó sus servicios a un costo considerablemente inferior, lo que hizo que fuera atractivo para los actores de amenazas comprar o adquirir los servicios de ReDVDS».
Los servidores virtuales en la nube de Windows se generaron a partir de una única imagen de Windows Server 2022, mediante RDP. Todas las instancias identificadas usaron el mismo nombre de equipo, WIN-BUNS25TD77J. Se ha determinado que Storm-2470 creó una máquina virtual (VM) de Windows y la clonó repetidamente sin cambiar la identidad del sistema.
Las instancias clonadas de Windows se crean bajo demanda mediante la tecnología de virtualización Quick Emulator (QEMU) combinada con los controladores VirtIO, con un proceso automatizado que copia la imagen de la máquina virtual (VM) maestra en un nuevo host cada vez que se solicita un servidor a cambio de un pago con criptomonedas. Esta estrategia permitió poner en marcha nuevos servidores de RDP en cuestión de minutos, lo que permitió a los ciberdelincuentes ampliar sus operaciones.
«Los actores de amenazas usaron RedVDS porque proporcionaba un entorno altamente permisivo, de bajo costo y resiliente en el que podían lanzar y ocultar múltiples etapas de su operación», dijo Microsoft. «Una vez aprovisionados, estos servidores de Windows clonados proporcionaron a los actores una plataforma lista para investigar los objetivos, montar una infraestructura de suplantación de identidad, robar credenciales, secuestrar buzones de correo y ejecutar fraudes financieros basados en la suplantación de identidad con la mínima fricción.
Post generado automáticamente, fuente oficial de la información: THEHACKERNEWS