Международная операция полиции пресекла подписочный сервис киберпреступности на базе ИИ, причинивший убытки на 40 млн долларов во всём мире.
В среду Microsoft сообщила, что пресекла деятельность RedVDS, глобального сервиса киберпреступности по подписке, вызвавшего многомиллионные убытки от мошенничества по всему миру.
За 24 доллара (21 евро) в месяц RedVDS обеспечивал фишинг и мошенничество в глобальном масштабе, затронув сотни тысяч учетных записей Microsoft с сентября 2025 года.
Скоординированные усилия включают гражданские иски в США и Великобритании, а также изъятие серверов немецкими и европейскими правоохранительными органами.
Влияние на Европу и трансграничный ответ
Помимо обращения в суд США в Южном округе Флориды, подразделение Microsoft по борьбе с цифровой преступностью впервые предприняло юридические действия в Великобритании.
С сентября 2025 по январь 2026 года кибератаки, осуществленные с использованием RedVDS за пределами Северной Америки, затронули жертв по всей Европе, при этом больше всего случаев было в Великобритании, Франции, Германии, Италии и Испании.
В первую очередь атаки были направлены на учреждения начального и среднего образования, индустрию потребительских товаров и прочие профессиональные услуги.
Операция, проведенная совместно с международными правоохранительными органами, включая немецкие власти и Европол, привела к изъятию ключевой инфраструктуры и отключению площадки RedVDS.
С марта 2025 года деятельность с использованием RedVDS привела к примерно 40 млн долларов (34 млн евро) заявленных убытков от мошенничества только в США, хотя считается, что реальный ущерб выше, поскольку часть инцидентов не была сообщена.
Кто пострадал?
Среди потерпевших, присоединившихся к Microsoft в качестве соистцов, есть фармацевтическая компания H2-Pharma из Алабамы, лишившаяся средств, предназначенных для спасительных препаратов от онкологических заболеваний, лекарств для лечения психических расстройств и детских противоаллергических средств.
«Становиться жертвой мошенничества не должно быть стигмой», говорится в пресс-релизе Microsoft. «Эти атаки проводят организованные профессиональные преступные группировки, которые перехватывают и подменяют легитимную переписку между доверяющими друг другу сторонами», добавили в компании.
Как это работало?
RedVDS был частью растущей экосистемы «киберпреступность как услуга», предоставляя доступ к дешевым виртуальным компьютерам с нелицензионным ПО, включая Windows. Это позволяло преступникам действовать анонимно через границы, рассылать фишинговые письма, размещать инфраструктуру мошенничества и реализовывать различные схемы.
Сервис часто комбинировали с инструментами генеративного ИИ, которые помогали выявлять ценные цели и создавать реалистичные цепочки писем, имитирующие легитимную переписку.
Во многих случаях злоумышленники использовали ИИ-инструменты для подмены лица, монтажа видео и клонирования голоса, чтобы выдавать себя за других и вводить жертв в заблуждение.
Мошенничество на рынке недвижимости
Одним из самых распространенных видов атак с использованием RedVDS было мошенничество с перенаправлением платежей, также известное как компрометация деловой переписки. Злоумышленники получали несанкционированный доступ к почтовым аккаунтам, отслеживали переписку и выжидали подходящий момент, чтобы, выдавая себя за доверенных участников, перенаправить платежи.
Сервис активно использовали в схемах по перенаправлению платежей при сделках с недвижимостью, одном из самых быстрорастущих видов кибермошенничества. Злоумышленники компрометировали аккаунты риелторов, эскроу-агентов и компаний по оформлению прав собственности, чтобы рассылать поддельные инструкции по платежам, предназначенные для отвода средств на закрытии сделки и эскроу-платежей.
Скоординированные действия европейских правоохранителей
Юридические действия Microsoft подкреплены тесным сотрудничеством с правоохранительными партнерами по всему миру, включая Европу.
Прокуратура Франкфурта-на-Майне (Центральное ведомство по борьбе с интернет-преступлениями) и Государственное управление уголовной полиции земли Бранденбург изымают критически важный сервер, обеспечивавший работу RedVDS.
Таким образом немецкие правоохранительные органы берут под контроль основной сервер, на котором RedVDS размещал свой сайт, и отключают онлайн-площадку, где клиенты могли регистрироваться, оплачивать и получать доступ к инструментам RedVDS.
Европейский центр по борьбе с киберпреступностью Европола совместно с подразделением по борьбе с цифровыми преступлениями работает над отключением множества серверов по всей Европе, которые преступники активно использовали через RedVDS. Это нарушает работу более широкой сети, поддерживавшей мошеннические схемы, даже за пределами основного сайта.
Защита от мошенничества
Microsoft рекомендует предпринять несколько шагов для снижения риска: не спешить и критически относиться к срочным просьбам о платежах, проверять запросы по дополнительным каналам связи, используя уже известные вам номера, включить многофакторную аутентификацию, обращать внимание на незаметные изменения в адресах электронной почты, поддерживать актуальность программного обеспечения и сообщать о подозрительной активности в правоохранительные органы.