Operazione di polizia globale smantella servizio in abbonamento per il cybercrime basato sull'IA, responsabile di perdite per 40 milioni di dollari
Microsoft ha annunciato mercoledì di aver interrotto RedVDS, un servizio di abbonamento al cybercrime di portata globale, responsabile di perdite da frode per milioni di dollari nel mondo.
Per 24 dollari (21 euro) al mese, RedVDS alimentava phishing e frodi su scala globale, colpendo centinaia di migliaia di account Microsoft da settembre 2025.
L’operazione coordinata comprende cause civili negli Stati Uniti e nel Regno Unito, oltre al sequestro di server da parte delle forze dell’ordine tedesche ed europee.
Impatto in Europa e risposta transfrontaliera a RedVDS
Oltre al ricorso presentato negli Stati Uniti, nel Distretto meridionale della Florida, la Digital Crimes Unit di Microsoft ha intrapreso per la prima volta un’azione legale nel Regno Unito.
Tra settembre 2025 e gennaio 2026, gli attacchi informatici legati a RedVDS al di fuori del Nord America hanno colpito vittime in tutta Europa, con numeri più alti nel Regno Unito, in Francia, in Germania, in Italia e in Spagna.
Gli attacchi hanno preso di mira soprattutto scuole primarie e secondarie, l’industria dei beni di consumo e altri servizi professionali.
L’operazione, condotta insieme alle forze dell’ordine internazionali, tra cui le autorità tedesche ed Europol, ha sequestrato infrastrutture chiave e ha messo offline il marketplace di RedVDS.
Dal marzo 2025, le attività rese possibili da RedVDS hanno causato negli Stati Uniti perdite da frode denunciate per circa 40 milioni di dollari (34 milioni di euro). Il bilancio reale è ritenuto più alto, perché molti episodi non vengono segnalati.
Chi sono le vittime di RedVDS?
Tra le vittime che si sono unite a Microsoft come co-ricorrenti figura H2-Pharma, un’azienda farmaceutica dell’Alabama che ha perso fondi destinati a cure oncologiche salvavita, farmaci per la salute mentale e medicinali contro le allergie per bambini.
«Cadere vittima di una truffa non dovrebbe mai comportare stigma», ha dichiarato Microsoft in un comunicato stampa. «Questi attacchi sono condotti da gruppi criminali organizzati e professionali, che intercettano e manipolano comunicazioni legittime tra soggetti fidati», ha aggiunto.
Come funzionava RedVDS?
RedVDS operava all’interno dell’ecosistema in crescita della criminalità informatica come servizio, offrendo accesso a computer virtuali a basso costo con software non autorizzato, incluso Windows. Ciò permetteva ai criminali di operare in anonimato oltre i confini, inviare email di phishing, ospitare infrastrutture di truffa e facilitare schemi fraudolenti.
Il servizio era spesso abbinato a strumenti di intelligenza artificiale generativa, utili per individuare obiettivi di alto valore e generare conversazioni email realistiche che imitavano corrispondenze legittime.
In molti casi, gli autori degli attacchi hanno usato sostituzione del volto, manipolazione video e clonazione vocale basate su IA per impersonare persone e ingannare le vittime.
Truffe immobiliari e reindirizzamento dei pagamenti
Uno degli attacchi più diffusi resi possibili da RedVDS era la frode da reindirizzamento dei pagamenti, nota anche come compromissione delle email aziendali (BEC). Gli aggressori ottenevano accesso non autorizzato agli account email, monitoravano le conversazioni e aspettavano il momento propizio per dirottare i pagamenti, impersonando soggetti di fiducia.
Il servizio è stato ampiamente utilizzato anche nelle truffe immobiliari basate sul dirottamento dei pagamenti, una delle forme di frode digitale in più rapida crescita. Gli aggressori compromettevano gli account di agenti immobiliari, mediatori fiduciari (escrow) e società di titoli di proprietà per inviare istruzioni di pagamento fraudolente, concepite per dirottare i fondi di chiusura e i versamenti in escrow.
Azioni coordinate delle forze dell’ordine europee
Le azioni legali di Microsoft sono rafforzate da una stretta collaborazione con le forze dell’ordine in tutto il mondo, anche in Europa.
La Procura di Francoforte sul Meno, Ufficio centrale per il contrasto ai reati su Internet, e il Landeskriminalamt del Brandeburgo stanno sequestrando un server critico utilizzato per alimentare RedVDS.
In questo modo, le autorità tedesche stanno assumendo il controllo del server principale che RedVDS utilizza per il proprio sito, chiudendo la piattaforma dove i clienti potevano registrarsi, pagare e accedere agli strumenti di RedVDS.
Il Centro europeo per la criminalità informatica di Europol sta collaborando con la Digital Crimes Unit per disattivare i numerosi server in Europa che i criminali utilizzavano attivamente tramite RedVDS. Ciò interrompe la rete più ampia che sosteneva le truffe, anche oltre il sito principale.
Come proteggersi dalle frodi
Microsoft ha suggerito alcune misure per ridurre i rischi: prendersi il tempo necessario e diffidare delle richieste di pagamento urgenti; verificare le richieste usando canali di contatto aggiuntivi con numeri già noti; attivare l’autenticazione multifattore; prestare attenzione a variazioni sottili negli indirizzi email; mantenere il software aggiornato; segnalare attività sospette alle forze dell’ordine.