A Unidade de Crimes Digitais da Microsoft anunciou o desmantelamento bem-sucedido da RedVDS, um fornecedor de servidores virtuais dedicados (VDS) que se tinha estabelecido como uma peça central na engrenagem do cibercrime internacional.
A operação, coordenada com as autoridades de vários países, pôs fim a uma plataforma que facilitou milhares de ataques de phishing, fraudes financeiras e intrusões em redes corporativas, que geraram prejuízos estimados em 40 milhões de dólares (cerca de 34,4 milhões de euros), apenas nos Estados Unidos, desde março de 2025.
Não perca nenhuma notícia importante da atualidade de tecnologia e acompanhe tudo em tek.sapo.pt
A RedVDS não era um fornecedor de alojamento comum, pois funcionava como um autêntico mercado para agentes maliciosos, oferecendo uma interface simplificada onde era possível adquirir servidores Windows baseados em Remote Desktop Protocol (RDP) a preços extremamente baixos.
Sem qualquer tipo de verificação ou restrição de uso, a plataforma garantia total anonimato aos seus "clientes", aceitando exclusivamente pagamentos em criptomoedas como Bitcoin, Litecoin e Monero. Para conferir uma aparência de legalidade, a organização operava sob uma entidade fictícia sediada nas Bahamas.
O sucesso da investigação da Microsoft deveu-se, em grande parte, a uma falha na operacionalização técnica da RedVDS. Os especialistas identificaram que todos os servidores disponibilizados eram criados a partir de uma única imagem clonada do Windows Server 2022.
Esta imagem partilhava sempre o mesmo nome de computador, “WIN-BUNS25TD77J”, uma anomalia que se tornou a assinatura digital da operação. O operador por trás da infraestrutura, identificado pelo nome de código Storm-2470, utilizava virtualização QEMU e licenças roubadas para escalar o negócio em minutos, permitindo que os atacantes lançassem campanhas massivas com custos operacionais quase nulos.
A popularidade da RedVDS era transversal a vários grupos de ameaças, incluindo os conhecidos Storm-0259, Storm-2227, Storm-1575 e Storm-1747. Estes grupos utilizavam a infraestrutura para visar setores críticos como o da saúde, construção, imobiliário e educação em países como o Reino Unido, França, Alemanha, Canadá e Estados Unidos.
Nos servidores analisados, foram encontradas ferramentas pré-instaladas para envio de email massivo, extratores de contactos e clientes VPN. Detetou-se ainda o uso de inteligência artificial (IA), nomeadamente do ChatGPT, para criar mensagens de phishing mais convincentes e sem erros gramaticais, ajudando os criminosos a superar barreiras linguísticas.
A escala da operação era impressionante, tendo a Microsoft identificado em apenas 30 dias mais de 7.300 endereços IP ligados à RedVDS que alojavam mais de 3.700 domínios fraudulentos. O encerramento desta infraestrutura representa um duro golpe na economia do cibercrime, mas a tecnológica deixa um alerta.
Para mitigar riscos semelhantes, as organizações devem reforçar as defesas através de autenticação multifactor (MFA) resistente a phishing, políticas de acesso condicional e uma formação contínua dos colaboradores, garantindo desta forma que tentativas de engenharia social sejam travadas logo no primeiro contacto.
Comentários