Microsoft ประกาศว่าเมื่อวัน 14 มกราคม 2026 ได้เข้าขัดขวาง RedVDS ที่เป็นแพลตฟอร์มอาชญากรรมทางไซเบอร์ขนาดใหญ่ที่มีความเชื่อมโยงกับความเสียหายที่มีผู้รายงานเข้ามาแล้วอย่างน้อย 40 ล้านดอลลาร์เฉพาะในสหรัฐอเมริกาเพียงแห่งเดียว นับตั้งแต่เดือนมีนาคม 2025
Microsoft ได้ยื่นฟ้องคดีแพ่งในสหรัฐอเมริกา และสหราชอาณาจักร พร้อมทั้งยึดโครงสร้างพื้นฐานที่ใช้ก่อเหตุ และปิดระบบตลาดซื้อขายรวมถึงหน้า portal ลูกค้าของ RedVDS ลง ซึ่งการดำเนินการนี้เป็นส่วนหนึ่งของปฏิบัติการระหว่างประเทศ ร่วมกับ Europol และทางการเยอรมนี
มีโจทก์ร่วมสองรายเข้าร่วมฟ้องกับ Microsoft ในคดีนี้ ได้แก่ H2-Pharma บริษัทเวชภัณฑ์ในรัฐแอละแบมา ซึ่งสูญเงินไป 7.3 ล้านดอลลาร์จากการหลอกลวงทางอีเมลธุรกิจ (Business Email Compromise - BEC) และสมาคมอาคารชุด Gatehouse Dock ในรัฐฟลอริดา ซึ่งสูญเสียเงินกองทุนของลูกบ้านไปเกือบ 500,000 ดอลลาร์
Steven Masada ผู้ช่วยที่ปรึกษาทั่วไปประจำหน่วยอาชญากรรมดิจิทัลของ Microsoft ระบุว่า "ด้วยค่าใช้จ่ายเพียง 24 ดอลลาร์ต่อเดือน RedVDS ทำให้อาชญากรเข้าถึง Virtual Computer แบบใช้แล้วทิ้ง ซึ่งทำให้การฉ้อโกงมีต้นทุนต่ำ, ขยายวงกว้างได้ง่าย และยากต่อการติดตามตัว"
"บริการเช่นนี้ได้กลายเป็นแรงขับเคลื่อนสำคัญอย่างเงียบ ๆ ที่ทำให้อาชญากรรมทางไซเบอร์พุ่งสูงขึ้นในปัจจุบัน โดยเป็นขุมพลังในการโจมตีที่สร้างความเสียหายต่อบุคคล, ธุรกิจ และชุมชนทั่วโลก"
RedVDS ดำเนินการในรูปแบบแพลตฟอร์ม cybercrime-as-a-service มาตั้งแต่ปี 2019 (โดยใช้โดเมน redvds[.]com, redvds[.]pro และ vdspanel[.]space) โดยจำหน่ายสิทธิ์การเข้าถึงเซิร์ฟเวอร์คลาวด์ Virtual Windows พร้อมสิทธิ์ผู้ดูแลระบบเต็มรูปแบบ และไม่มีการจำกัดการใช้งาน ให้กับกลุ่มอาชญากรทางไซเบอร์หลายกลุ่ม ซึ่งรวมถึงกลุ่มผู้ไม่หวังดีที่ถูกติดตามในชื่อ Storm-0259, Storm-2227, Storm-1575 และ Storm-1747
การสืบสวนของ Microsoft พบว่าผู้พัฒนา และผู้ดำเนินการ RedVDS (ซึ่งถูกติดตามในชื่อ Storm-2470) ได้สร้าง Virtual Machines ทั้งหมดขึ้นจาก image ต้นฉบับของ Windows Server 2022 เพียงชุดเดียวที่ถูกโคลนซ้ำ ๆ การกระทำนี้ทิ้ง technical fingerprint ที่เป็นเอกลักษณ์ไว้ โดยเครื่องทั้งหมดมีชื่อคอมพิวเตอร์เดียวกันว่า WIN-BUNS25TD77J ซึ่งความผิดปกตินี้เองที่ช่วยให้ทีมสืบสวนสามารถแกะรอยการทำงานของบริการนี้เชื่อมโยงไปยังแคมเปญการโจมตีต่าง ๆ ได้
RedVDS ใช้วิธีเช่าเซิร์ฟเวอร์จากผู้ให้บริการ third-party hosting ในสหรัฐอเมริกา, สหราชอาณาจักร, ฝรั่งเศส, แคนาดา, เนเธอร์แลนด์ และเยอรมนี ซึ่งทำให้อาชญากรสามารถจัดหา IP address ที่มีตำแหน่งทางภูมิศาสตร์ใกล้เคียงกับเหยื่อเป้าหมาย และสามารถหลบเลี่ยงระบบตรวจสอบด้านความปลอดภัยที่ตรวจสอบตามตำแหน่งที่ตั้ง (location-based security filters) ได้อย่างง่ายดาย
ทีมสืบสวนพบว่าลูกค้าของ RedVDS ได้ติดตั้งมัลแวร์ และเครื่องมืออันตรายหลากหลายชนิดลงในเซิร์ฟเวอร์ที่เช่าไป ซึ่งรวมถึงโปรแกรมส่งอีเมลปริมาณมาก, เครื่องมือเก็บรวบรวมรายชื่ออีเมล, เครื่องมืออำพรางตัวตน และซอฟต์แวร์ควบคุมเครื่องจากระยะไกล
บริการดังกล่าวทำให้อาชญากรสามารถส่งอีเมล phishing แบบจำนวนมาก, ตั้งฐานระบบสำหรับกลุ่มมิจฉาชีพ และดำเนินแผนการฉ้อโกงต่าง ๆ ได้ โดยที่ยังปกปิดตัวตนไว้ได้ ผ่านการชำระเงินด้วย cryptocurrency
นอกจากนี้ เซิร์ฟเวอร์ของ RedVDS ยังถูกใช้ในการขโมยข้อมูล credential, การควบคุมบัญชีของผู้ใช้, การโจมตีแบบอีเมลธุรกิจ (Business Email Compromise - BEC) และกลโกงหลอกให้โอนเงินค่าอสังหาริมทรัพย์ ซึ่งเฉพาะกรณีหลังนี้ได้สร้างความเสียหายอย่างมหาศาลให้กับลูกค้ากว่า 9,000 รายทั่วแคนาดา และออสเตรเลีย
Microsoft พบว่าลูกค้าของ RedVDS จำนวนมากยังได้นำเครื่องมือปัญญาประดิษฐ์ (AI) อย่าง ChatGPT มาใช้ในการโจมตี เพื่อสร้างอีเมล phishing ให้ดูน่าเชื่อถือ และแนบเนียนยิ่งขึ้น ขณะที่กลุ่มอื่น ๆ ใช้วิธีสลับใบหน้า (Face-swapping), การตัดต่อวิดีโอ และการโคลนเสียง เพื่อปลอมแปลงเป็นองค์กร และบุคคลที่ได้รับความเชื่อถือ
ในเวลาเพียงหนึ่งเดือน อาชญากรทางไซเบอร์ที่ควบคุม Virtual Machine ของ RedVDS กว่า 2,600 เครื่อง ได้ส่งข้อความ phishing ไปยังลูกค้าของ Microsoft เพียงกลุ่มเดียวโดยเฉลี่ยสูงถึงวันละ 1 ล้านข้อความ ซึ่งส่งผลให้พวกเขาสามารถโจมตีเข้าบัญชี Microsoft ได้เกือบ 200,000 บัญชีในช่วงสี่เดือนที่ผ่านมา
Masada อธิบายเพิ่มเติมว่า "นับตั้งแต่เดือนกันยายน 2025 การโจมตีผ่านระบบของ RedVDS ได้ส่งผลให้องค์กรกว่า 191,000 แห่งทั่วโลกถูกโจมตีระบบ หรือถูกเข้าถึงข้อมูลโดยมิชอบ ตัวเลขเหล่านี้เป็นเพียงส่วนหนึ่งของบัญชีที่ได้รับผลกระทบในบรรดาผู้ให้บริการเทคโนโลยีทั้งหมด ซึ่งทำให้เห็นชัดเจนว่าโครงสร้างพื้นฐานนี้ช่วยขยายขอบเขตการโจมตีทางไซเบอร์ได้รวดเร็วเพียงใด"
เมื่อเดือนกันยายน 2025 ที่ผ่านมา หน่วยอาชญากรรมดิจิทัลของ Microsoft (DCU) ได้ร่วมมือกับ Cloudflare เข้าขัดขวาง RaccoonO365 ซึ่งเป็นบริการ Phishing-as-a-Service (PhaaS) ขนาดใหญ่ ที่ช่วยให้อาชญากรทางไซเบอร์ขโมยข้อมูล credential ของผู้ใช้ Microsoft 365 ไปได้หลายพันรายการ
ที่มา : bleepingcomputer
You must be logged in to post a comment.