Microsoft ha annunciato un intervento legale coordinato negli Stati Uniti e nel Regno Unito che ha portato al sequestro e alla disattivazione dell’infrastruttura di RedVDS, un servizio in abbonamento legato al cybercrime e utilizzato per frodi online. RedVDS veniva proposto come soluzione economica per ottenere computer virtuali “usa e getta”, rendendo le campagne criminali più convenienti, scalabili e difficili da tracciare. Secondo le informazioni disponibili, attività abilitate da RedVDS avrebbero contribuito a generare circa 40 milioni di dollari di perdite da frode segnalate solo negli Stati Uniti a partire da marzo 2025.

Il caso evidenzia la crescita del modello crimeware as a service, che abbassa la barriera di ingresso e permette anche a soggetti poco esperti di eseguire attacchi complessi. In pratica, l’ecosistema offre strumenti pronti all’uso che vanno dai kit di phishing ai malware stealer fino al ransomware, con un effetto di professionalizzazione delle operazioni criminali.

RedVDS, nello specifico, forniva server Windows basati su Remote Desktop Protocol con privilegi amministrativi completi e senza limiti di utilizzo, spesso associati a software non concesso in licenza. I server risultavano distribuiti in più paesi, tra cui Canada, Stati Uniti, Francia, Paesi Bassi, Germania, Singapore e Regno Unito, e includevano anche un pannello rivenditore per creare sotto-utenti e gestire l’infrastruttura senza condividere l’accesso principale.

Un elemento rilevante è l’assenza di log di attività, che rendeva il servizio particolarmente appetibile per chi voleva operare in anonimato. Tra gli abusi più frequenti figurano invio massivo di email di phishing, business email compromise, takeover di account e frodi finanziarie. Viene inoltre descritto l’uso combinato con strumenti di intelligenza artificiale generativa per individuare bersagli di valore, scrivere messaggi più credibili e persino supportare tecniche di impersonificazione tramite clonazione vocale o manipolazione video.

Dalle analisi emerge anche una standardizzazione tecnica: molte istanze Windows sarebbero state clonate da una singola immagine di Windows Server 2022, con identità di sistema ripetuta e creazione automatizzata tramite virtualizzazione. Questo permetteva di attivare rapidamente nuovi host RDP in pochi minuti, spesso pagati in criptovaluta, accelerando la capacità operativa dei gruppi criminali e aumentando il rischio per organizzazioni di vari settori, dalla sanità alla formazione.