أعلنت شركة مايكروسوفت، بالتعاون مع جهات إنفاذ القانون الدولية، عن نجاحها في إغلاق البنية التحتية التي كانت تستخدم لتشغيل خدمة الجرائم الإلكترونية المسماة “RedVDS”. وتم تنظيم إجراءات مدنية في الولايات المتحدة والمملكة المتحدة لوقف استخدام هذه الخدمة مستقبلاً، والتي مكنت المحتالين عالمياً من ارتكاب عمليات احتيال واسعة النطاق.
تسببت خدمة RedVDS في خسائر مالية تقدر بنحو 40 مليون دولار أمريكي في الولايات المتحدة منذ مارس 2025، بحسب مايكروسوفت. ومن بين الضحايا الذين انضموا إلى مايكروسوفت كمدعين في الإجراءات المدنية، شركة الأدوية “H2 Pharma” التي تتخذ من ألاباما مقراً لها، والتي فقدت أكثر من 7.3 مليون دولار، وجمعية “Gatehouse Dock Condominium Association” في فلوريدا، التي تعرضت للاحتيال بما يقارب 500 ألف دولار.
شراكة دولية تضرب شبكات الاحتيال الإلكتروني: إغلاق ‘RedVDS’
قال ستيفن ماسادا، المستشار العام المساعد في وحدة الجرائم الرقمية في مايكروسوفت، إنه مقابل مبلغ قد يبدأ من 24 دولاراً شهرياً، كانت خدمة RedVDS توفر للمجرمين وصولاً إلى أجهزة كمبيوتر افتراضية يمكن التخلص منها، مما يجعل عمليات الاحتيال رخيصة، قابلة للتوسع، وصعبة التتبع. وأوضح أن الخدمة توفر وصولاً إلى أجهزة كمبيوتر افتراضية فعالة ورخيصة، تعمل ببرامج غير مرخصة، بما في ذلك ويندوز، مما يسمح للمجرمين بالعمل بسرعة وبشكل مجهول وعبر الحدود.
وأضاف ماسادا أن الهجمات التي استغلت خدمة RedVDS أدت منذ سبتمبر 2025 إلى اختراق أو الوصول الاحتيالي لأكثر من 191 ألف حساب بريد إلكتروني تابع لمايكروسوفت، عبر أكثر من 130 ألف منظمة حول العالم. وأشار إلى أن هذه الأرقام تمثل فقط جزءاً من الحسابات المتأثرة عبر جميع مزودي التكنولوجيا، مما يوضح مدى سرعة هذه البنية التحتية في زيادة حجم الهجمات السيبرانية.
تفاصيل العملية وأثرها
ووفقاً لمايكروسوفت، فإن العملية المشتركة مع الإنتربول والسلطات في ألمانيا مكنت الشركة من الاستيلاء على البنية التحتية لـ RedVDS وإغلاق السوق عبر الإنترنت. واستخدم مجرمو الإنترنت الموقع، الذي كان يتضمن برنامج ولاء ومكافآت إحالة للعملاء، لإرسال هجمات تصيد احتيالي بكميات كبيرة، واستضافة البنية التحتية لعمليات احتيال، وتسهيل عمليات مثل الاحتيال عبر البريد الإلكتروني للأعمال (BEC).
خلال شهر واحد، أرسلت أكثر من 2600 آلة افتراضية تابعة لـ RedVDS ما متوسطه مليون رسالة تصيد احتيالي يومياً لعملاء مايكروسوفت، حسبما ذكر ماسادا. تسهل RedVDS التحويل الاحتيالي للأموال ضد منظمات مثل H2 Pharma و Gatehouse Dock Condominium Association من خلال الاحتيال عبر البريد الإلكتروني للأعمال. كما استخدمت الخدمة لاختراق حسابات الوسطاء العقاريين ووكلائهم وشركات سندات الملكية لتحويل المدفوعات.
وشملت عمليات الاحتيال العقاري المدعومة من RedVDS أكثر من 9000 عميل، الكثير منهم في كندا وأستراليا. وأشارت مايكروسوفت إلى أن عمليات احتيال أخرى سهلتها RedVDS ضربت منظمات في قطاعات البناء والتصنيع والرعاية الصحية والخدمات اللوجستية والتعليم والخدمات القانونية.
كيف كانت تعمل RedVDS؟
يشير الباحثون إلى أن واجهة المستخدم الخاصة بالخدمة كانت مليئة بالميزات التي سمحت لمجرمي الإنترنت الراغبين بشراء خوادم بروتوكول سطح المكتب البعيد (RDP) غير المرخصة والرخيصة التي تعمل بنظام ويندوز، مع تحكم كامل للمسؤول. أعادت RedVDS استخدام نفس صورة هوست ويندوز المستنسخة عبر الخدمة، مما سمح للباحثين بتحديد بصمات فنية فريدة.
تتعقب مايكروسوفت المجموعة التي تطور وتشغل RedVDS باسم Storm-2470. وبحسب مايكروسوفت، فإن ما لا يقل عن خمس مجموعات إجرامية إلكترونية أخرى ومجرمي إنترنت استخدموا خدمة التصيد الاحتيالي Racoon0365 قبل إغلاقها في أكتوبر، كانوا يستخدمون أيضاً البنية التحتية لـ RedVDS.
بدأت خدمة RedVDS في العمل في عام 2019، وظلت مستمرة في تقديم خوادم في الولايات المتحدة والمملكة المتحدة وكندا وفرنسا وهولندا وألمانيا. وأصبح السوق “أداة شائعة لمجرمي الإنترنت خلال العام الماضي، حيث يسهل آلاف الهجمات، بما في ذلك سرقة بيانات الاعتماد، والاستيلاء على الحسابات، والتصيد الاحتيالي الجماعي”.
كانت RedVDS تستأجر الخوادم من مزودي استضافة خارجيين، بما في ذلك خمس شركات استضافة على الأقل في الولايات المتحدة وكندا والمملكة المتحدة وفرنسا وهولندا. وسمح ذلك لـ RedVDS بتوفير عناوين IP في مواقع جغرافية قريبة من الأهداف، مما يمكّن مجرمي الإنترنت من التهرب من المرشحات الأمنية القائمة على الموقع والاندماج مع حركة مرور مراكز البيانات العادية.
وفي تصريح لأحد مسؤولي مايكروسوفت، أكد أن “الجرائم الإلكترونية اليوم مدعومة ببنية تحتية مشتركة، مما يعني أن تعطيل المهاجمين الأفراد ليس كافياً”. وأوضح أن “من خلال هذا الإجراء المنسق، عطلت مايكروسوفت عمليات RedVDS، بما في ذلك الاستيلاء على نطاقين يستضيفان سوق RedVDS والبوابة الخاصة بالعملاء، مع وضع الأساس لتحديد الأفراد الذين يقفون وراءها.”