Em ação coordenada com governos, Microsoft interrompe serviço global de assinatura para crimes cibernéticos

Em uma ação coordenada com órgãos governamentais de investigação, a Microsoft interrompeu os serviços de assinatura da RedVDS, acusada de auxiliar criminosos em ataques virtuais. Por apenas US$ 24 por mês, os grupos teriam acesso a computadores virtuais descartáveis, facilitando a fraude de forma barata, escalável e difícil de rastrear.

De acordo com a apuração realizada pela Unidade de Crimes Digitais (DCU) da big tech, em parceria com autoridades policiais dos Estados Unidos, do Reino Unido do Centro Europeu de Crimes Cibernéticos da Europol (EC3), a entidade foi desenvolvida e operada pelo grupo criminoso Storm-2470, que se esconde atrás do nome e interface fictícia.

Em conjunto às ações legais da Microsoft, o Ministério Público da Alemanha em Frankfurt am Main – Escritório Central de Combate ao Crime na Internet (ZIT) e a Polícia Criminal do Estado de Brandemburgo apreenderam um servidor crítico usado para alimentar o RedVDS, efetivamente tirando seu mercado central do ar.

Leia mais: Senadores dos EUA pressionam Apple e Google a remover X e Grok após polêmica com imagens geradas por IA

Histórico do cibercrime

A RedVDS lançou seu site em 2019, afirmando ser regida pela lei das Bahamas. No entanto, por trás da fachada, a empresa estaria vendendo softwares e serviços ilegais que proviam grupos marginais com ferramentas para realizar phishing em massa, roubo de contas, fraudes financeiras, entre outras ações ilícitas.

Os ataques eram disparados para diversos setores, incluindo o jurídico, construção, manufatura, imobiliário, saúde e educação nos Estados Unidos, Canadá, Reino Unido, França, Alemanha, Austrália e em países com infraestrutura bancária substancial, que têm maior potencial de ganho financeiro.

Entre os “clientes” da companhia estavam organizações como Storm-0259, Storm-2227, Storm-1575, Storm-1747 e agentes de phishing que usaram o serviço de phishing RacoonO365 antes de sua desativação coordenada. Estes compravam o serviço por meio de criptomoedas, principalmente Bitcoin e Litecoin, dificultando seu rastreio.

Em imagens compartilhadas com a imprensa, a Microsoft revelou que o marketplace oferece uma interface de usuário simples e rica em recursos para a compra de servidores de Protocolo de Área de Trabalho Remota (RDP) baseados em Windows, sem licença e de baixo custo, com controle total de administrador e sem limites de uso.

Segundo a Microsoft, a escala das operações facilitadas pela infraestrutura da organização gerou aproximadamente US$ 40 milhões em perdas por fraudes relatadas somente nos Estados Unidos desde março de 2025.

As movimentações da RedVDS eram investigadas há cerca de um ano. Neste período, a Microsoft Threat Intelligence identificou ataques que mostravam milhares de credenciais roubadas, faturas roubadas de organizações-alvo, envios em massa de e-mails e kits de phishing, indicando que vários hosts Windows foram criados a partir da mesma instalação base do Windows.

Investigações adicionais revelaram que a maioria dos hosts foi criada usando um único ID de computador, o que significa que a mesma licença do Windows Eval 2022 foi usada para criar esses hosts. Ao usar a licença roubada para criar imagens, o grupo Storm-2470 forneceu seus serviços a um custo substancialmente menor, tornando-se atraente para agentes de ameaças comprarem ou adquirirem os serviços do RedVDS.

Danos locais

No Brasil, entre setembro de 2025 e janeiro de 2026, ataques cibernéticos habilitados pelo RedVDS comprometeram aproximadamente 2.650 contas de e-mail de clientes Microsoft no Brasil. Nesse mesmo período, o país ficou em 9º lugar no ranking global de países com mais contas Microsoft impactadas pelos ataques cibernéticos facilitados pela entidade.