Microsoft e autoridades internacionais desmantelam serviço de cibercrime RedVDS

A Microsoft anunciou que, em colaboração com autoridades policiais internacionais, conseguiu desmantelar o RedVDS, um serviço de cibercrime utilizado por atores maliciosos para montar infraestruturas destinadas a ataques de phishing, fraude financeira, business email compromise (BEC) e o controlo de contas.

A ação de desmantelamento incluiu a apreensão de domínios associados ao mercado e ao portal de clientes do RedVDS, bem como de servidores-chave. A Microsoft está igualmente a trabalhar com as autoridades para interromper redes de pagamento ligadas ao serviço.

Paralelamente, a empresa avançou com processos legais nos Estados Unidos e, pela primeira vez, no Reino Unido, com o objetivo de desmantelar a infraestrutura remanescente e identificar os responsáveis pela operação.

Lançado em 2019, o RedVDS operava como um serviço de servidores virtuais dedicados (VDS), permitindo a criação rápida de servidores Windows com acesso remoto via RDP. Estas infraestruturas descartáveis eram posteriormente utilizadas por cibercriminosos para conduzir campanhas em larga escala, com subscrições disponíveis por valores a partir de 24 dólares por mês.

Segundo a Microsoft, os prejuízos associados a atividades fraudulentas ligadas ao RedVDS atingem cerca de 40 milhões de dólares só nos EUA. Num dos casos citados, uma empresa farmacêutica do Alabama perdeu mais de 7,3 milhões de dólares na sequência de um ataque BEC suportado por este serviço.

De acordo com a Microsoft, o RedVDS foi utilizado para atacar organizações nos Estados Unidos, Reino Unido, Canadá, França, Alemanha e Austrália, abrangendo setores como jurídico, indústria transformadora, saúde, imobiliário, construção e educação. A empresa acompanha o grupo responsável pela operação e desenvolvimento do serviço sob a designação Storm-2470.

A ligação entre múltiplos ataques e o RedVDS foi possível porque muitos dos servidores virtuais partilhavam a mesma instalação base de Windows Server 2022, incluindo o mesmo nome de computador. Esta “impressão digital” surgia em certificados RDP e em dados de telemetria, funcionando como um indicador-chave da atividade associada ao serviço. Segundo a Microsoft, os operadores criaram uma única máquina virtual que foi repetidamente clonada sem qualquer personalização da identidade do sistema.

Os servidores RedVDS não executavam diretamente os ataques, funcionando antes como plataformas alugadas para diferentes tipos de atividades maliciosas. A análise revelou a utilização destas infraestruturas para envio massivo de spam e phishing, recolha de endereços de correio eletrónico, uso de navegadores focados na privacidade, VPN, ferramentas de acesso remoto como AnyDesk e até ferramentas de Inteligência Artificial para otimizar operações criminosas.

Num único mês, a Microsoft identificou cerca de 2.600 máquinas virtuais RedVDS a enviar, em média, um milhão de emails de phishing por dia para clientes da empresa. Embora a maioria tenha sido bloqueada no âmbito dos cerca de 600 milhões de ataques diários que a Microsoft afirma travar, o volume permitiu que uma pequena percentagem chegasse aos destinatários.

Desde setembro de 2025, ataques associados ao RedVDS resultaram no comprometimento ou acesso fraudulento a mais de 191 mil contas de email Microsoft, afetando mais de 130 mil organizações em todo o mundo.

Esta iniciativa surge poucos meses depois de a Microsoft e a Cloudflare terem colaborado no desmantelamento do serviço de phishing RaccoonO365, sendo que alguns dos atores que recorreram a esse serviço passaram posteriormente a utilizar o RedVDS.