Microsoft ร่วมกับ Europol และหน่วยงานเยอรมนี ประกาศว่าได้ทำการหยุดชะงัก RedVDS ซึ่งเป็นแพลตฟอร์มอาชญากรรมไซเบอร์ขนาดใหญ่ที่เชื่อมโยงกับการสูญเสียอย่างน้อย 40 ล้านดอลลาร์สหรัฐฯ ในสหรัฐอเมริกาเพียงแห่งเดียวตั้งแต่เดือนมีนาคม 2025 เป็นต้นมา โดย Microsoft ได้ยื่นฟ้องทางแพ่งทั้งในสหรัฐอเมริกาและสหราชอาณาจักร พร้อมยึดโครงสร้างพื้นฐานที่เป็นอันตรายและปิดตลาด รวมถึงพอร์ทัลลูกค้าของ RedVDS แพลตฟอร์ม RedVDS ให้บริการเช่าเซิร์ฟเวอร์คลาวด์เสมือนของ Windows ให้กับกลุ่มอาชญากรไซเบอร์มาตั้งแต่ปี 2019 โดยมีผู้โจมตีใช้แพลตฟอร์มนี้ในการส่งอีเมลฟิชชิ่งจำนวนมาก, โฮสต์โครงสร้างพื้นฐานสำหรับการหลอกลวง, การขโมยข้อมูลประจำตัว, การเข้ายึดครองบัญชี, การหลอกลวง Business Email Compromise (BEC) และการหลอกลวงการเปลี่ยนเส้นทางการชำระเงินด้านอสังหาริมทรัพย์ นอกจากนี้ยังพบว่าลูกค้าของ RedVDS จำนวนมากใช้เครื่องมือ AI เช่น ChatGPT ในการสร้างอีเมลฟิชชิ่งที่น่าเชื่อถือยิ่งขึ้น การโจมตีที่ขับเคลื่อนโดย RedVDS ได้นำไปสู่การประนีประนอมหรือการเข้าถึงบัญชี Microsoft ขององค์กรกว่า 191,000 แห่งทั่วโลกในช่วงสี่เดือนที่ผ่านมา.
Severity: วิกฤต
System Impact:
- Virtual Windows Cloud Servers (RedVDS platform)
- Microsoft Accounts
- Email Systems (สำหรับการฟิชชิ่งและการส่งอีเมลจำนวนมาก)
- Financial Systems (สำหรับการโจมตี BEC และการหลอกลวงการชำระเงิน)
Technical Attack Steps:
- 1. อาชญากรไซเบอร์เช่าเซิร์ฟเวอร์คลาวด์เสมือนของ Windows (VDS) จาก RedVDS ซึ่งมีราคาถูกและยากต่อการติดตาม
- 2. RedVDS จัดหา VDS ที่สร้างจากอิมเมจ Windows Server 2022 ที่มีลายพิมพ์ทางเทคนิคเฉพาะตัว (ชื่อคอมพิวเตอร์ WIN-BUNS25TD77J) ให้การควบคุมระดับผู้ดูแลระบบและไม่มีข้อจำกัดในการใช้งาน
- 3. อาชญากรนำ VDS ไปใช้เพื่อโฮสต์เครื่องมือและมัลแวร์ต่างๆ เช่น เครื่องมือส่งอีเมลจำนวนมาก, เครื่องมือเก็บเกี่ยวอีเมล, เครื่องมือความเป็นส่วนตัว และซอฟต์แวร์เข้าถึงระยะไกล
- 4. ใช้ VDS เหล่านี้เพื่อส่งอีเมลฟิชชิ่งจำนวนมาก (เฉลี่ย 1 ล้านข้อความต่อวันไปยังลูกค้า Microsoft), โฮสต์โครงสร้างพื้นฐานการหลอกลวง, ขโมยข้อมูลประจำตัว, เข้ายึดครองบัญชี และดำเนินการหลอกลวง BEC หรือการเปลี่ยนเส้นทางการชำระเงินด้านอสังหาริมทรัพย์
- 5. บางครั้งใช้เครื่องมือ AI เช่น ChatGPT เพื่อสร้างอีเมลฟิชชิ่งที่น่าเชื่อถือ และใช้เทคนิค Face-swapping, Video manipulation, Voice cloning เพื่อปลอมแปลงเป็นองค์กรหรือบุคคลที่น่าเชื่อถือ
- 6. การชำระเงินค่าบริการ RedVDS มักทำผ่านสกุลเงินดิจิทัลเพื่อรักษาความเป็นนิรนามของผู้โจมตี
Recommendations:
Short Term:
- บล็อกโดเมนและ IP address ที่เกี่ยวข้องกับ RedVDS ที่เป็นที่รู้จัก (เช่น redvds[.]com, redvds[.]pro, vdspanel[.]space) ในระบบรักษาความปลอดภัยเครือข่ายและอีเมลของคุณ
- ทบทวนและปรับปรุงการตั้งค่าตัวกรองความปลอดภัยของอีเมลเพื่อตรวจจับอีเมลฟิชชิ่ง โดยเฉพาะอย่างยิ่งที่อาจถูกสร้างโดย AI
- บังคับใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) สำหรับบัญชีทั้งหมด โดยเฉพาะบัญชี Microsoft และระบบที่สำคัญ
- ให้การฝึกอบรมและสร้างความตระหนักรู้ให้กับผู้ใช้เกี่ยวกับวิธีการระบุการโจมตีฟิชชิ่ง, BEC และการปลอมแปลงบุคคล (เช่น การใช้ Deepfake หรือการปลอมแปลงเสียง)
Long Term:
- ลงทุนในโซลูชันความปลอดภัยขั้นสูงที่สามารถตรวจจับและป้องกันเนื้อหาที่เป็นอันตรายที่สร้างโดย AI
- นำระบบตรวจจับการฉ้อโกงที่มีประสิทธิภาพมาใช้ โดยเฉพาะอย่างยิ่งสำหรับการทำธุรกรรมทางการเงินและการชำระเงินด้านอสังหาริมทรัพย์
- ทำการตรวจสอบการจัดสรรและใช้งานเซิร์ฟเวอร์เสมือนภายในองค์กรเป็นประจำ เพื่อป้องกันการนำไปใช้ในทางที่ผิด
- เข้าร่วมและสนับสนุนความร่วมมือกับหน่วยงานบังคับใช้กฎหมายและองค์กรด้านความปลอดภัยทางไซเบอร์ เพื่อหยุดชะงักโครงสร้างพื้นฐานของอาชญากรรมไซเบอร์เชิงรุก
- ปรับปรุงการแบ่งปันข้อมูลภัยคุกคามอย่างต่อเนื่องเพื่อติดตามแพลตฟอร์มอาชญากรรมไซเบอร์ในรูปแบบบริการ (CaaS) ที่เกิดขึ้นใหม่
Share this content: