Microsoft ha annunciato lo smantellamento dell’infrastruttura di RedVDS, un servizio di cybercrime globale fruibile su abbonamento, responsabile di frodi che hanno causato perdite per milioni di dollari in tutto il mondo. La notizia è importante anche per l’Italia, dove tra settembre 2025 e gennaio 2026 gli attacchi informatici che sono passati per RedVDS hanno compromesso circa 2.480 account email di clienti Microsoft, il che ci colloca al decimo posto a livello globale per numero di account colpiti.

RedVDS è un tassello chiave del panorama Cybercrime‑as‑a‑service. Si tratta, infatti, di un servizio in abbonamento che, a partire da 24 dollari al mese, offre ai cyber criminali macchine virtuali usa e getta che eseguono software privo di licenza (incluso Windows) e permettono di lanciare campagne a basso costo, su larga scala e con un elevato grado di anonimato operativo. In pratica, chiunque disponga di una carta di pagamento e di competenze tecniche minime poteva accedere a questa infrastruttura ready to use, avviare campagne di phishing, ospitare infrastrutture di scam, orchestrare frodi BEC o real‑estate impersonation, con una superficie di attacco e una resilienza logistica che in passato richiedevano investimenti significativi in server compromessi e rete di proxy.

Il materiale divulgato da Microsoft alla stampa mette in evidenza il ruolo che ha avuto RedVDS nell’aumento del cybercrime a livello globale. Microsoft spiega che, solo negli Stati Uniti, l’attività abilitata da questo servizio ha generato circa 40 milioni di dollari di perdite da frode segnalate a partire da marzo 2025. Come sempre la cifra rappresenta solo una frazione del danno reale, se si considerano la quota elevata di incidenti non denunciati e il fatto che gli attaccanti cambiano rapidamente piattaforma e fornitori.

Gli account compromessi a livello globale mediante RedVDS

Un caso emblematico è quello dell’azienda farmaceutica H2 Pharma, con sede in Alabama. Un singolo schema di payment diversion ha portato alla sottrazione di oltre 7,3 milioni di dollari, che erano fondi destinati a sostenere terapie oncologiche, farmaci per la salute mentale e medicinali pediatrici. Indicativo è anche l’attacco alla Gatehouse Dock Condominium Association in Florida, con un raggiro fruttato quasi 500.000 dollari che erano stati accantonati per lavori essenziali di manutenzione.

L’analisi tecnica

Un elemento interessante, dal punto di vista tecnico, è la combinazione tra RedVDS e gli strumenti di AI generativa. Microsoft sottolinea che i cyber criminali si sono serviti spesso delle sopraccitate virtual machine a noleggio, in accoppiata con modelli generativi, per identificare più velocemente i target di alto valore e costruire thread di email multimediali che imitassero alla perfezione conversazioni legittime già in corso. In centinaia di casi analizzati, gli attaccanti hanno rafforzato l’attività ingannevole servendosi di strumenti di face‑swapping, di manipolazione video e si sintetizzazione vocale per impersonare persone reali.

Le dimensioni dell’infrastruttura parlano da sole: in un solo mese, più di 2.600 macchine virtuali RedVDS hanno spedito mediamente un milione di email di phishing al giorno verso clienti Microsoft. Il volume è tale che, nonostante la attività proattive di contrasto, riusciva comunque a recapitare una quota di messaggi nelle caselle di posta delle potenziali vittime. Da settembre 2025, gli attacchi che hanno fatto uso di RedVDS hanno portato alla compromissione o all’accesso fraudolento di oltre 191.000 account email Microsoft appartenenti a più di 130.000 aziende in tutto il mondo.

L’interfaccia utente di RedVDS

Il cuore della monetizzazione rimane il payment diversion fraud, che è la declinazione più insidiosa del business email compromise. L’attaccante sfrutta RedVDS per compromettere un account aziendale e monitora in silenzio le conversazioni in corso, in attesa del momento giusto per muoversi: tipicamente un pagamento in scadenza o una transazione di importo elevato. A quel punto interviene: impersonando un interlocutore fidato, modifica le coordinate di pagamento o inserisce istruzioni che dirottano i fondi verso conti controllati da lui. Da qui il denaro scompare in pochi secondi attraverso una catena di mule account e cash‑out. Tempistiche e dinamiche sono tali da rendere il raggiro credibile fino al momento in cui i fondi risultano ormai irrecuperabili.

RedVDS è stato ampiamente usato anche per perpetrare truffe real estate impersonation scam. In questi scenari, gli attaccanti prendono il controllo delle caselle email di agenti immobiliari, società di escrow o studi notarili, monitorano le trattative e intervengono a ridosso del rogito con email contestualizzate che modificano l’IBAN per il versamento di fondi a saldo, depositi escrow o altre somme rilevanti. Microsoft riaggancia RedVDS a truffe di questo tipo ai danni di 9.000 clienti nel solo settore immobiliare, con maggiore localizzazione in Canada e Australia. In questi contesti famiglie hanno perso tutti i loro risparmi.

La lista dei settori colpiti con questa categoria di attacchi va però oltre il real estate: le frodi hanno impattato su settori come edilizia, manufacturing, healthcare, logistica, education e altro, causando disservizi importanti.

La catena di attacco di RedVDS

Lo smantellamento

L’azione annunciata da Microsoft è il risultato di un intervento tecnico e legale coordinato a livello internazionale. Si tratta di un’azione civile condotta negli Stati Uniti e nel Regno Unito, finalizzata a interrompere il servizio e a porre le basi per identificare le persone che lo gestivano. Hanno collaborato anche la Procura di Francoforte e la polizia criminale del Land Brandeburgo con il sequestro di un server critico che aveva funzioni vitali nel funzionamento di RedVDS. Europol, tramite l’European Cybercrime Centre, ha coordinato ulteriori attività per colpire la rete più ampia di server e i circuiti di pagamento che supportavano i clienti RedVDS.

Quello che preme sottolineare è che RedVDS non è un caso isolato. Al contrario, è parte di un trend strutturale del cybercrime moderno, basato su infrastrutture condivise su cui si innestano servizi altamente specializzati che permettono di lanciare attacchi efficaci e su larga scala anche da parte di persone con competenze limitate. È per questo che la Digital Crimes Unit di Microsoft insiste sulla necessità di colpire le piattaforme che rendono scalabili le campagne di frode, invece di rincorrere singoli threat actor facilmente sostituibili e difficili da raggiungere.

In quest’ottica, quella contro RedVDS è la trentacinquesima iniziativa di questo tipo portata avanti dalla DCU e si inserisce in un percorso di lungo periodo che comprende anche la partecipazione a iniziative come il National Cyber‑Forensics and Training Alliance e la Global Anti‑Scam Alliance.