Netcrook Logo
👤 LOGICFALCON
🗓️ 14 Jan 2026   🌍 North America

Dentro la stretta su RedVDS: come Microsoft e la polizia hanno paralizzato un motore globale del cybercrimine

La collaborazione internazionale interrompe un famigerato servizio di server virtuali che alimentava phishing e frodi in tutto il mondo.

Per molte vittime era una storia fin troppo familiare: un’email sospetta, un account violato e milioni sottratti in un batter d’occhio. Ma dietro le quinte, una città fantasma digitale alimentava gran parte di questo caos: un servizio noto come RedVDS. Ora, dopo una vasta operazione guidata da Microsoft e dalle forze dell’ordine globali, il motore che alimentava silenziosamente attacchi di phishing e business email compromise in tutto il mondo sta finalmente arrivando al capolinea.

Fatti in breve

  • RedVDS era un servizio di virtual dedicated server (VDS) che consentiva ai cybercriminali di noleggiare server Windows pronti all’uso per gli attacchi.
  • Lanciato nel 2019, ha alimentato phishing di massa, truffe BEC e frodi finanziarie in sei Paesi e in molteplici settori.
  • Microsoft ha tracciato il gruppo dietro RedVDS come Storm-2470, collegando al servizio oltre 40 milioni di dollari di perdite per frodi segnalate negli Stati Uniti.
  • Al suo apice, 2.600 server RedVDS inviavano una stima di un milione di email di phishing al giorno.
  • L’operazione ha incluso sequestri di domini e server, azioni legali e sforzi per smantellare le reti di pagamento di RedVDS.

La spina dorsale nascosta del cybercrimine

Dal suo lancio nel 2019, RedVDS offriva ai cybercriminali una proposta semplice ma potente: con soli 24 dollari al mese, chiunque poteva avviare un server desktop remoto basato su Windows, pronto per essere usato in truffe e attacchi. Queste macchine virtuali (VM) usa e getta sono diventate la spina dorsale di campagne di phishing di massa, schemi di business email compromise (BEC) e una vertiginosa gamma di frodi online.

L’indagine di Microsoft ha rivelato che RedVDS era tutt’altro che discreto. Gli operatori, soprannominati Storm-2470, hanno tagliato gli angoli clonando migliaia di volte una singola immagine di Windows Server 2022, lasciando impronte rivelatrici sotto forma di nomi di sistema identici e certificati RDP uguali. Questo ha permesso a Microsoft di tracciare l’attività di RedVDS attraverso i continenti, collegandola ad attacchi negli Stati Uniti, nel Regno Unito, in Canada, in Francia, in Germania e in Australia. I bersagli andavano dagli ospedali agli studi legali, dalle imprese di costruzioni agli agenti immobiliari.

RedVDS non eseguiva direttamente gli attacchi. Invece, affittava l’infrastruttura ad attori malevoli che installavano strumenti per l’invio massivo di email, raccolta di indirizzi, VPN e persino strumenti di IA per potenziare le loro campagne di cybercrimine. In un solo mese, 2.600 VM RedVDS hanno sparato un milione di email di phishing al giorno, contribuendo a oltre 191.000 compromissioni di account email Microsoft da settembre 2025. Una sola azienda farmaceutica dell’Alabama ha perso 7,3 milioni di dollari a causa di un singolo attacco BEC ricondotto a server RedVDS.

Spegnere una fabbrica digitale del crimine

L’operazione è stata coordinata quanto i crimini che mirava a colpire. Microsoft, lavorando al fianco delle forze dell’ordine internazionali, ha sequestrato i domini RedVDS e server chiave. Azioni legali sia negli Stati Uniti sia nel Regno Unito hanno cercato di abbattere l’infrastruttura del servizio criminale e smascherare gli operatori dietro le quinte. Sono inoltre in corso sforzi per interrompere le reti di pagamento che permettevano a RedVDS di trarre profitto dal caos globale.

Questo smantellamento segue operazioni simili contro altre piattaforme di cybercrimine, come RaccoonO365 e ONNX, segnalando una nuova era di collaborazione tra colossi tecnologici e autorità nella lotta al crimine digitale.

Fine di un’era del cybercrimine?

La caduta di RedVDS segna una vittoria significativa nella guerra in corso contro il cybercrimine-as-a-service. Ma mentre forze dell’ordine e aziende tecnologiche festeggiano, resta la domanda: quanto tempo passerà prima che un’altra piattaforma sorga a prenderne il posto? Per ora, il mondo sotterraneo digitale ha perso un attore chiave - e migliaia di organizzazioni possono tirare un po’ più il fiato.

WIKICROOK

  • Virtual Dedicated Server (VDS): Un virtual dedicated server (VDS) è un server virtualizzato con risorse dedicate, che offre maggiore controllo, sicurezza e prestazioni rispetto all’hosting condiviso.
  • Remote Desktop Protocol (RDP): Il Remote Desktop Protocol (RDP) consente agli utenti di accedere e controllare un computer da remoto. Senza adeguate misure di sicurezza, può essere vulnerabile agli attacchi informatici.
  • Business Email Compromise (BEC): Il Business Email Compromise (BEC) è una truffa in cui i criminali violano o impersonano email aziendali per indurre le aziende a inviare denaro verso conti fraudolenti.
  • Phishing: Il phishing è un crimine informatico in cui gli attaccanti inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare su link malevoli.
  • Clonazione (in informatica): La clonazione in informatica significa creare copie esatte di sistemi o ambienti. Viene usata per distribuzione rapida, test, scalabilità e ripristino in caso di disastro.
RedVDS cybercrime phishing
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news