enero 15, 2026
ms-fraud-servers.jpg

Microsoft dijo el miércoles que ha tomado “medidas legales coordinadas” en EE.UU. y el Reino Unido para interrumpir un servicio de suscripción contra delitos cibernéticos. RedVDS Según se informa, esto ha resultado en pérdidas por fraude de millones de dólares.

Según el gigante tecnológico, la acción es parte de un esfuerzo más amplio de aplicación de la ley en colaboración con agencias de aplicación de la ley, que le permitió apoderarse de la infraestructura maliciosa y desconectar el servicio ilegal (“redvds(.)com”).

“Por sólo 24 dólares al mes, RedVDS ofrece a los delincuentes acceso a computadoras virtuales desechables que hacen que el fraude sea económico, escalable y difícil de rastrear”, dijo Steven Masada, asesor general adjunto de la Unidad de Delitos Digitales de Microsoft. “Desde marzo de 2025, las actividades habilitadas por RedVDS han resultado en aproximadamente $40 millones en pérdidas por fraude reportadas solo en los Estados Unidos”.

Las ofertas de crimeware-as-a-Service (CaaS) se han convertido cada vez más en un modelo de negocio lucrativo, transformando el cibercrimen de un dominio alguna vez exclusivo que requería experiencia técnica a una economía sumergida donde incluso los actores de amenazas novatos y emergentes pueden llevar a cabo ataques complejos rápidamente y a escala.

Estos servicios llave en mano incluyen una amplia gama de herramientas modulares, que van desde kits de phishing hasta ladrones y ransomware. Contribuyen eficazmente a la profesionalización del ciberdelito y resultan ser un catalizador de ataques sofisticados.

Según Microsoft, RedVDS se promocionó como un servicio de suscripción en línea que proporciona máquinas virtuales disponibles y de bajo costo que ejecutan software sin licencia, incluido Windows, para permitir a los delincuentes operar de forma anónima y enviar correos electrónicos de phishing en masa, alojar infraestructura de fraude, llevar a cabo esquemas de compromiso de correo electrónico empresarial (BEC), realizar apropiaciones de cuentas y facilitar el fraude financiero.

En particular, sirvió como centro para la compra de servidores de Protocolo de escritorio remoto (RDP) basados ​​en Windows, de bajo costo y sin licencia, con control total del administrador y sin restricciones de uso a través de una interfaz de usuario rica en funciones. Además de proporcionar servidores en Canadá, EE. UU., Francia, Países Bajos, Alemania, Singapur y el Reino Unido, RedVDS también ofreció un panel de revendedor para crear subusuarios y darles acceso para administrar los servidores sin tener que compartir el acceso al sitio principal.

Ciberseguridad

Una sección de preguntas frecuentes en el sitio web señaló que los usuarios pueden usar el bot de Telegram para administrar sus servidores a través de la aplicación Telegram en lugar de tener que iniciar sesión en el sitio web. En particular, el servicio no mantiene registros de actividad, lo que lo convierte en una opción atractiva para uso ilegal.

Según instantáneas capturadas en Internet Archive, RedVDS se promocionó como una forma de “aumentar su productividad y trabajar desde casa con comodidad y facilidad”. El servicio, según los responsables del sitio web ahora confiscado, se fundó por primera vez en 2017 y se opera en Discord, ICQ y Telegram. El sitio web se lanzó en 2019.

“RedVDS a menudo se combina con herramientas de inteligencia artificial generativa que ayudan a identificar objetivos de alto valor más rápidamente y generar hilos de correo electrónico más realistas para mensajes multimedia que imitan la correspondencia legítima”, dijo la compañía, y agregó: “Los atacantes observados mejoraron aún más su engaño al aprovechar herramientas de inteligencia artificial para el intercambio facial, la manipulación de videos y la clonación de voz para hacerse pasar por individuos y engañar a las víctimas”.

Infraestructura de herramientas RedVDS

Desde septiembre de 2025, los ataques impulsados ​​por RedVDS supuestamente han resultado en el compromiso o el acceso fraudulento de más de 191.000 organizaciones en todo el mundo, lo que subraya el amplio alcance del servicio.

El fabricante de Windows, que está rastreando al desarrollador y mantenedor de RedVDS bajo el nombre Storm-2470, dijo que ha identificado una “red global de diversos ciberdelincuentes” que está utilizando la infraestructura proporcionada por el mercado criminal para atacar múltiples sectores, incluidos el legal, la construcción, la manufactura, los bienes raíces, la atención médica y la educación en los EE. UU., Canadá, el Reino Unido, Francia, Alemania, Australia y países con importantes objetivos de infraestructura bancaria.

Cadena de ataque RedVDS

Los actores de amenazas notables incluyen Storm-2227, Storm-1575, Storm-1747 y actores de phishing que utilizaron el kit de phishing RaccoonO365 antes de su interrupción en septiembre de 2025. La infraestructura se utilizó específicamente para alojar un conjunto de herramientas que incluye malware y software de doble uso:

  • Herramientas de correo electrónico masivo de spam/phishing como SuperMailer, UltraMailer, BlueMail, SquadMailer y Email Sorter Pro/Ultimate
  • Recolector de direcciones de correo electrónico como Sky Email Extractor para extraer o validar una gran cantidad de direcciones de correo electrónico
  • Herramientas de privacidad y OPSEC como Waterfox, Avast Secure Browser, Norton Private Browser, NordVPN y ExpressVPN
  • Herramientas de acceso remoto como AnyDesk

Se dice que un actor de amenazas utilizó los hosts proporcionados para enviar correos electrónicos mediante programación (y sin éxito) a través de Microsoft Power Automate (Flow) usando Excel, mientras que otros usuarios de RedVDS usaron ChatGPT u otras herramientas de OpenAI para crear señuelos de phishing, recopilar información sobre los flujos de trabajo organizacionales para llevar a cabo fraudes y distribuir mensajes de phishing diseñados para recopilar credenciales y tomar el control de las cuentas de las víctimas.

Ofertas RedVDS

El objetivo final de estos ataques es orquestar estafas BEC altamente convincentes que permitan a los actores de amenazas inmiscuirse en conversaciones de correo electrónico legítimas con proveedores y emitir facturas fraudulentas para engañar a los objetivos para que transfieran fondos a una cuenta Mule que controlan.

Curiosamente, los términos y condiciones prohibían a los clientes utilizar RedVDS para enviar correos electrónicos de phishing, distribuir malware, transmitir contenido ilegal, escanear sistemas en busca de vulnerabilidades de seguridad o realizar ataques de denegación de servicio (DoS). Esto sugiere que los actores de amenazas claramente están tratando de limitar o evadir la responsabilidad.

Ciberseguridad

Microsoft dijo además que “identificó ataques que mostraron miles de credenciales robadas, facturas robadas de organizaciones objetivo, envíos masivos de correo y kits de phishing, lo que sugiere que se crearon múltiples hosts de Windows en la misma instalación base de Windows”.

“Una investigación adicional reveló que la mayoría de los hosts se crearon con una única identificación de computadora, lo que significa que se usó la misma licencia de Windows Eval 2022 para crear estos hosts. Al usar la licencia robada para crear imágenes, Storm-2470 proporcionó sus servicios a un costo significativamente menor, lo que lo hace atractivo para los actores de amenazas comprar o adquirir servicios RedVDS”.

Los servidores virtuales en la nube de Windows se generaron a partir de una única imagen de Windows Server 2022 mediante RDP. Todas las instancias identificadas utilizaron el mismo nombre de computadora, WIN-BUNS25TD77J. Se supone que Storm-2470 creó una máquina virtual (VM) de Windows y la clonó repetidamente sin cambiar la identidad del sistema.

Las instancias clonadas de Windows se crean bajo demanda utilizando la tecnología de virtualización Quick Emulator (QEMU) combinada con controladores VirtIO, con un proceso automatizado que copia la imagen de la máquina virtual (VM) maestra a un nuevo host cada vez que se solicita un servidor mediante pago en criptomonedas. Esta estrategia hizo posible configurar nuevos hosts RDP en minutos, lo que permitió a los ciberdelincuentes escalar sus actividades.

“Los actores de amenazas utilizaron RedVDS porque proporcionaba un entorno altamente permisivo, rentable y resistente en el que podían lanzar y ocultar múltiples fases de su operación”, dijo Microsoft. “Una vez implementados, estos hosts de Windows clonados proporcionaron a los actores una plataforma lista para usar para investigar objetivos, montar infraestructura de phishing, robar credenciales, secuestrar buzones de correo y llevar a cabo fraude financiero basado en el robo de identidad con un mínimo esfuerzo”.

About The Author

desafiomayor

See author's posts

Related News

anyrun-main.jpg

4 hábitos obsoletos que destruirán el MTTR de su SOC en 2026

enero 15, 2026 0
paloalto.jpg

Palo Alto corrige un error DoS de GlobalProtect que puede bloquear los firewalls sin iniciar sesión

enero 15, 2026 0

You may have missed

064018200_1768443556-Potret_sisi_belakang_bodi_Redmi_Note_15_Pro_.jpeg

Al desembalar el Redmi Note 15 Pro+, estas dos características hacen que la primera impresión sea diferente

enero 15, 2026 0
wesley-snipes-blade-1024x577.jpg

Prime Video: 12 de las mejores películas de ciencia ficción que puedes transmitir ahora mismo

enero 15, 2026 0
gettyimages-758282421.jpg

¿El recién nacido no duerme? Prueba esta función oculta de iPhone

enero 15, 2026 0
Green-white-apple-logo.jpg

Después de Italia, WhatsApp excluye a Brasil de la prohibición de chatbots de su competidor

enero 15, 2026 0
closeup-of-solos-airgo-a5-smart-glasses-resting-on-cutting-board-with-knife-and-vegetables.jpg

Intenté cocinar con gafas inteligentes. Aquí puedes descubrir dónde te ayudaron más.

enero 15, 2026 0
gettyimages-82567372.jpg

¿Sigues usando lejía? Un experto en lavandería explica por qué esto es un gran error

enero 15, 2026 0